8
Windows7 Fonts Ordner - Berechtigung für Benutzer vergeben?
Wie kann ich unter Windows7 den Benutzern Schreibrechte im Fonts-Ordner erteilen?
Hallo zusammen,
wie schon im Vorwort beschrieben, wüsste ich gerne, wie ich unter Windows7 (Ultimate x64) den Benutzern Schreibrechte auf den Windows\Fonts Ordner geben kann, falls das überhaupt möglich ist?
Die sollen nämlich ihre Schriften ruhig selber installieren dürfen. Unsere User sind bei Schriften immerhin so diszipliniert, dass sie sich nicht gleich mit 500 Schriften "mal so aus Fun" das System dicht machen.
Leider gibt es für den Ordner Fonts unter den Eigenschaften keine Sicherheitseinstellungen (mehr). Habe in den Weiten des Internets nichts wirklich Brauchbares gefunden ...oder bin zu blöd richtig zu suchen.
Kann ich das irgendwie über einen CMD-Befehl oder über die RegEdit oder irgendwie anders eindrehen?
Bin wie immer für jede Idee dankbar.
wie schon im Vorwort beschrieben, wüsste ich gerne, wie ich unter Windows7 (Ultimate x64) den Benutzern Schreibrechte auf den Windows\Fonts Ordner geben kann, falls das überhaupt möglich ist?
Die sollen nämlich ihre Schriften ruhig selber installieren dürfen. Unsere User sind bei Schriften immerhin so diszipliniert, dass sie sich nicht gleich mit 500 Schriften "mal so aus Fun" das System dicht machen.
Leider gibt es für den Ordner Fonts unter den Eigenschaften keine Sicherheitseinstellungen (mehr). Habe in den Weiten des Internets nichts wirklich Brauchbares gefunden ...oder bin zu blöd richtig zu suchen.
Kann ich das irgendwie über einen CMD-Befehl oder über die RegEdit oder irgendwie anders eindrehen?
Bin wie immer für jede Idee dankbar.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 148947
Url: https://administrator.de/contentid/148947
Printed on: April 20, 2024 at 00:04 o'clock
8 Comments
Latest comment
Du kannst über GPOs Berechtigungen auf Ordner und Registryeinträge (hier: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts) setzen. Geh in den Bereich Computer-Konfig - Policies - Windowseinstellungen - Sicherheitseinstellungen.
Alternativ über ein Startskript mittels icacls.exe.
Edit][Der Vollständigkeit halber: Rechte auf Registryeinträge per Skript gehen nicht per icacls, aber über subinacl.exe.
Alternativ über ein Startskript mittels icacls.exe.
Edit][Der Vollständigkeit halber: Rechte auf Registryeinträge per Skript gehen nicht per icacls, aber über subinacl.exe.
Was würde ich ohne Dich machen? 
Herzlichen Dank für die schnelle Antwort!
Vielleicht sollte ich mal bei Dir in Lehre gehen...
Schönes Wochenende
Gruß, whatever
EDIT: Nachdem ich ein wenig mit den Server 2008 R2 GPOs in einer virtuellen Umgebung rumgespielt habe, musste ich leider feststellen, dass es doch noch nicht so sauber funktioniert wie gedacht.
Zuerst hatte ich das ganze unter dem beschriebenen Pfad ... > Sicherheitseinstellungen mit Dateisystem probiert, indem ich dort den Eintrag %SystemRoot%\Fonts benutzt und dort die Freigabe gesetzt habe.
Leider ohne Erfolg. Dann habe ich es mit ... > Sicherheitseinstellungen > Registrierung versucht, dort den Schlüssel genommen und die Benutzer auf Vollzugriff gesetzt. Wenn ich mir jetzt auf dem Client-Rechner in der RegEdit die Benutzerrechte in dem Schlüssel ansehe, steht da auch brav Vollzugriff bei den lokalen Benutzern, somit also auch für die Domänen-Benutzern.
Allerdings kommt beim kopieren der Schriften in den Fontsordner weiterhin das Admininstallationsfenster; der Benutzer darf immer noch nicht installieren.
Da scheint mir also noch ein weiteres Recht zu fehlen, aber wo?
Herzlichen Dank für die schnelle Antwort!
Vielleicht sollte ich mal bei Dir in Lehre gehen...
Schönes Wochenende
Gruß, whatever
EDIT: Nachdem ich ein wenig mit den Server 2008 R2 GPOs in einer virtuellen Umgebung rumgespielt habe, musste ich leider feststellen, dass es doch noch nicht so sauber funktioniert wie gedacht.
Zuerst hatte ich das ganze unter dem beschriebenen Pfad ... > Sicherheitseinstellungen mit Dateisystem probiert, indem ich dort den Eintrag %SystemRoot%\Fonts benutzt und dort die Freigabe gesetzt habe.
Leider ohne Erfolg. Dann habe ich es mit ... > Sicherheitseinstellungen > Registrierung versucht, dort den Schlüssel genommen und die Benutzer auf Vollzugriff gesetzt. Wenn ich mir jetzt auf dem Client-Rechner in der RegEdit die Benutzerrechte in dem Schlüssel ansehe, steht da auch brav Vollzugriff bei den lokalen Benutzern, somit also auch für die Domänen-Benutzern.
Allerdings kommt beim kopieren der Schriften in den Fontsordner weiterhin das Admininstallationsfenster; der Benutzer darf immer noch nicht installieren.
Da scheint mir also noch ein weiteres Recht zu fehlen, aber wo?
Hi.
Ich hab mich eben ausführlich damit beschäftigt. Man kann per Richtlinie die erforderlichen ACLs manipulieren - für xp reicht das. Bei Win7 und Vista jedoch ist auf dem Programm, welches die Fonts installiert (fontview.exe aus system32) eine UAC-Abfrage getriggert. Sprich: ohne Abschalten der UAC wird das trotz vorhandener Berechtigung nichts.
Zwei Auswege (einer davon als funktionierend getestet):
-Nutzen eines shims, der den UAC-Trigger aus der fontview.exe nimmt
-Nutzen eines alternativen Programms, um Fonts zu installieren. Funktionierend getestet mit http://www.gljakal.com/fontviewer/fontview_setup.exe
Weiterer Workaround: Verteile einen geplanten Task, der mit Systemrechten läuft. Ziel des Tasks ist eine Batch, die über eine For-Schleife eine vom Nutzer modifizierbare Liste von Fonts abarbeitet - würde 100%ig gehen.
Beste Lösung (aber aufwendig): das Shim, siehe http://technet.microsoft.com/en-us/library/dd837648(WS.10).aspx
danach: der alternative fontview - sofern der Firma vertraut werden mag und die Werbeeinblendungen nicht stören. Als drittes der Workaround.
Ich hab mich eben ausführlich damit beschäftigt. Man kann per Richtlinie die erforderlichen ACLs manipulieren - für xp reicht das. Bei Win7 und Vista jedoch ist auf dem Programm, welches die Fonts installiert (fontview.exe aus system32) eine UAC-Abfrage getriggert. Sprich: ohne Abschalten der UAC wird das trotz vorhandener Berechtigung nichts.
Zwei Auswege (einer davon als funktionierend getestet):
-Nutzen eines shims, der den UAC-Trigger aus der fontview.exe nimmt
-Nutzen eines alternativen Programms, um Fonts zu installieren. Funktionierend getestet mit http://www.gljakal.com/fontviewer/fontview_setup.exe
Weiterer Workaround: Verteile einen geplanten Task, der mit Systemrechten läuft. Ziel des Tasks ist eine Batch, die über eine For-Schleife eine vom Nutzer modifizierbare Liste von Fonts abarbeitet - würde 100%ig gehen.
Beste Lösung (aber aufwendig): das Shim, siehe http://technet.microsoft.com/en-us/library/dd837648(WS.10).aspx
danach: der alternative fontview - sofern der Firma vertraut werden mag und die Werbeeinblendungen nicht stören. Als drittes der Workaround.
Zuerst hatte ich das ganze unter dem beschriebenen Pfad ... > Sicherheitseinstellungen mit Dateisystem probiert, indem ich dort den Eintrag %SystemRoot%\Fonts benutzt und dort die Freigabe gesetzt habe.
Leider ohne Erfolg.
Geht bei mir, sofern in der GPO "Configure this file or folder, then replace existing permissions..." genutzt wird. Propagate funktioniert nicht.Leider ohne Erfolg.
Holla,
Shim hört sich richtig nach Arbeit an bzw. Kopfrauchen - zumindest bei mir.
Dann werde ich mir noch mal die Fontview-Geschichte näher ansehen (und mögliche Alternativen?!).
Herzlichen Dank schon mal für die vielen Vorschläge!
Shim hört sich richtig nach Arbeit an bzw. Kopfrauchen - zumindest bei mir.
Dann werde ich mir noch mal die Fontview-Geschichte näher ansehen (und mögliche Alternativen?!).
Herzlichen Dank schon mal für die vielen Vorschläge!
Hi.
Hatte gestern zuviel Zeit und hab mich an den Shims versucht - ist nur eine Kleinigkeit. Jedoch funktionierte es nicht. Obwohl ich dem Fontview ein shim zugewisen habe heißt es weiterhin von ihm "this operation requires elevation" beim Versuch eine .ttf zu installieren ohne Admin zu sein. Fazit: versuch es mit dem alternativen Programm, das funktioniert.
Hatte gestern zuviel Zeit und hab mich an den Shims versucht - ist nur eine Kleinigkeit. Jedoch funktionierte es nicht. Obwohl ich dem Fontview ein shim zugewisen habe heißt es weiterhin von ihm "this operation requires elevation" beim Versuch eine .ttf zu installieren ohne Admin zu sein. Fazit: versuch es mit dem alternativen Programm, das funktioniert.
Hmm, also entweder bin ich echt zu blöd oder es hängt irgendwo anders.
Habe jetzt das Programm installiert, Benutzerrechte "ändern" auf die Exe gegeben und versucht Fonts zu installieren (was leider nicht mal quitiert wird, wenn man auf den Button drückt). Neustart > Leider ohne Effekt. Mache ich es mit Adminrechten mit dem Fontviewer 1.3, bekomme ich zwar auch kein Feedback, aber nach einem Neustart wird die installierte Schrift angezeigt.
Wie hast Du es hinbekommen?
Äh... Du hast Ändern-rechte auf die exe vergeben? Wie jetzt? auf die fonview.exe? Wozu?
Ich habe zwei vorbereitende Dinge gemacht, wie schon gesagt:
1 Sicherheitseinstellungen im Dateisystem %SystemRoot%\Fonts "Configure this file or folder, then replace existing permissions..."
2 Das selbe in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts
Fontview1.3 gibt keine Meldung aus, richtig. Ich konnte die Fonts als schwacher User installieren und sofort nutzen.
Ich habe zwei vorbereitende Dinge gemacht, wie schon gesagt:
1 Sicherheitseinstellungen im Dateisystem %SystemRoot%\Fonts "Configure this file or folder, then replace existing permissions..."
2 Das selbe in der Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts
Fontview1.3 gibt keine Meldung aus, richtig. Ich konnte die Fonts als schwacher User installieren und sofort nutzen.
Zitat von @DerWoWusste:
Äh... Du hast Ändern-rechte auf die exe vergeben? Wie jetzt? auf die fonview.exe? Wozu?
Äh... Du hast Ändern-rechte auf die exe vergeben? Wie jetzt? auf die fonview.exe? Wozu?
Dachte, dass es sonst nicht geht
Ok, dann checke ich das noch mal gegen, vielleicht läuft die GPO auch nicht sauber. Melde mich spätestens morgen noch mal.
EDIT:
Jetzt funktioniert's! Typischer Flüchtigkeitsfehler. Ich hatte die VM nicht mehr in der GPO-Gruppe, weil ich zwischendurch viele andere Sachen getestet hatte und die Rückkehr zum vorherigen Snapshot war der Stand ohne den getesteten Rechner.
Super vielen Dank noch mal.
