fanello
Goto Top

GPO Nur folgende Programme ausführen - Aero Oberfläche wird bei neuen Profilen nicht geladen

Hi,

sobald ich die GPO "Nur zugelassene Programme ausführen" aktiviere, wird bei neuen Profilen die Aeoro Oberfläche auf meinem Terminalserver (2008r2) nicht mehr geladen. Ich habe wohl eine exe gesperrt, die benötigt wird, damit die Aero Oberfläche geladen werden kann. Habt ihr eine Ahnung, welches Programm das sein könnte?

Grüße Benny

Content-ID: 214141

Url: https://administrator.de/forum/gpo-nur-folgende-programme-ausfuehren-aero-oberflaeche-wird-bei-neuen-profilen-nicht-geladen-214141.html

Ausgedruckt am: 23.12.2024 um 13:12 Uhr

colinardo
colinardo 13.08.2013 um 10:50:44 Uhr
Goto Top
Hallo Benny,
der Prozess heißt dwm.exe und liegt in C:\windows\system32.

Grüße Uwe
fanello
fanello 13.08.2013 um 10:59:12 Uhr
Goto Top
Hi Uwe,

danke für Deine Antwort. Hilft leider nicht. Nachwievor wird Aero nur geladen, wenn ich die Regel deaktiviere.

Grüße Benny
colinardo
colinardo 13.08.2013 aktualisiert um 11:34:40 Uhr
Goto Top
Bitte zuerst mal diesen Artikel lesen: http://technet.microsoft.com/en-us/library/bb457006.aspx
Danke.

Grüße Uwe
colinardo
colinardo 13.08.2013 um 11:31:08 Uhr
Goto Top
Zitat von @fanello:
Hi Uwe,

danke für Deine Antwort. Hilft leider nicht. Nachwievor wird Aero nur geladen, wenn ich die Regel deaktiviere.
Standardmäßig bekommen die User wenn ich mich nicht irre, auf einem Terminal-Server ein Windows-Basis Design zugeteilt. Versuch mal dies mit Desktop>Anpassen auf ein Aero-Design umzustellen.
fanello
fanello 13.08.2013 um 12:15:31 Uhr
Goto Top
Danke für Deine Hilfe. Ich werde mir den Artikel mal zu Gemüte führen.
Das umstellen des Designs funktioniert, es wird standardmäßig auch das Aero Design geladen, erst wenn ich meine Regel aktiviere, in der nur ein paar Programme stehen, die ausgeführt werden dürfen, wird das Aero Design nicht mehr geladen.
Das Problem tritt nur auf, wenn sich ein Nutzer das erste mal einloggt, d.h. wenn das Nutzerprofil erstellt wird. Wenn sich ein Nutzer einmal eingeloggt hat und das Profil erstellt wurde, wird im nachhinein immer das Aero Design geladen. Wenn ein Nutzer das Design umstellt, wird beim nächsten Login auch das Aero Design geladen. Ich nehme an, dass es eine exe gibt, die beim erstellen eines Profils aufgerufen wird, um das Aero Design standardmäßig zu laden.

Momentan habe ich folgende Programme vom nicht ausführen ausgenommen:

dwm.exe
explorer.exe
c:\win*
fanello
fanello 13.08.2013 um 12:18:36 Uhr
Goto Top
c:\win*

Das funktioniert leider auch nicht so wie in dem Artikel beschrieben, Programme im Windows Ordner sind trotzdem gesperrt.
colinardo
colinardo 13.08.2013 aktualisiert um 12:30:36 Uhr
Goto Top
Zitat von @fanello:
c:\win*

Das funktioniert leider auch nicht so wie in dem Artikel beschrieben, Programme im Windows Ordner sind trotzdem gesperrt.
Mach daraus eine Ordnerausnahme mit folgendem Pfad C:\Windows\ -> "Nicht eingeschränkt" und C:\Windows\system32 -> "Nicht eingeschränkt" . Und den Server neu starten nicht vergessen WICHTIG!!, sonst wirken die Änderungen nicht.
fanello
fanello 13.08.2013 um 12:32:14 Uhr
Goto Top
Wo kann ich denn eine Ordnerregel erstellen? Finde die GPO momentan nicht...
colinardo
colinardo 13.08.2013 aktualisiert um 12:36:20 Uhr
Goto Top
Zitat von @fanello:
Wo kann ich denn eine Ordnerregel erstellen? Finde die GPO momentan nicht...

3a2bcc239a8b554551c64f4997247a71
DerWoWusste
DerWoWusste 13.08.2013 um 12:44:32 Uhr
Goto Top
Moin allerseits.

Fanello nutzt Benutzerkonfig - Administrative Vorlagen - System - Nur zugelassenen Windows-Anwendungen auführen
colinardo spricht also von einer anderen GPO.

Fanello, Du solltest nachdenken, die von colinardo zu nutzen, da Deine nicht als Ausführungsschutz gedacht ist und mühelos übergangen werden kann, wie auch aus der Erläuterung zur Policy hervorgeht.
fanello
fanello 13.08.2013 um 12:54:53 Uhr
Goto Top
Danke, ich denke du hast Recht, ich bin noch etwas unerfahren face-smile

Was sollte ich denn für den Computer und was für Benutzer konfigurieren. Nicht dass sich meine Regeln nachher gegenseitig blockieren?
colinardo
colinardo 13.08.2013 um 12:56:33 Uhr
Goto Top
Das sollte die passende GPO für dich sein, um ein Theme festzulegen:
Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Anpassung > "Bestimmten visuellen Stil oder "WIndows - klassisch" erzwingen"
Dort folgenden Pfad eintragen:
%windir%\Resources\Themes\Aero\aero.msstyles
DerWoWusste
DerWoWusste 13.08.2013 um 12:57:45 Uhr
Goto Top
Befass Dich mit applocker (ich sehe gerade, es geht um 2008 R2, da gibt es schon applocker, das ist die Weiterentwicklung von Colinardos). Deine Policy gar nicht mehr benutzen.

Applocker gibt es nur in der Computerkonfig.
fanello
fanello 13.08.2013 um 13:35:40 Uhr
Goto Top
Applocker sieht sehr gut aus. Ich möchte allerdings das ausführen von bestimmten Programmen nach Organisationseinheiten bestimmen. Geht das mit Applocker auch irgendwie, oder muss ich dann die Benutzer einer bestimmten Gruppe zuweisen z.B. "Darf Buchhaltungssoftware benutzen" und für diese Gruppe dann die entsprechenden Programme freischalten?

Was ist denn hier die beste Vorgehensweise?
DerWoWusste
DerWoWusste 13.08.2013 um 14:05:17 Uhr
Goto Top
oder muss ich dann die Benutzer einer bestimmten Gruppe zuweisen z.B. "Darf Buchhaltungssoftware benutzen" und für diese Gruppe dann die entsprechenden Programme freischalten?
Genau so.
fanello
fanello 13.08.2013 um 14:13:44 Uhr
Goto Top
Jetzt hab ich nur das Problem, dass die ganzen Einstellungen, die ich in Applocker treffe nicht übernommen werden. Die Ereignisanzeige auf dem Terminalserver ist bei Applocker auch komplett leer, dort steht nicht ein einziges Ereignis.

Computer habe ich natürlich 100 mal neu gestartet.
DerWoWusste
DerWoWusste 13.08.2013 um 14:17:27 Uhr
Goto Top
Hast Du den in jeder Anleitung genannten Dienst aktiviert? Ohne den läuft nichts.
fanello
fanello 13.08.2013 um 14:25:10 Uhr
Goto Top
Danke, den Dienst habe ich aktiviert, das hier hat mir geholfen: http://www.grouppolicy.biz/2013/04/how-to-troubleshoot-applocker/

gpupdate, danach ging es auf einmal, der PC hat die Einstellungen beim starten aus irgendeinem Grund nicht abgerufen...
fanello
fanello 13.08.2013 um 14:46:39 Uhr
Goto Top
Danke für eure Hilfe und vielen Dank für den Hinweis auf Applocker, das ist genau das was ich gesucht habe, jetzt funktioniert endlich alles so wie es soll face-smile face-smile face-smile

Edit: Wie gehe ich denn jetzt am geschicktesten vor, damit ich die ganzen Programme, wie Server Manager, die Powershell und die ganzen Verwaltungsprogramme, die im Windows Verzeichnis liegen für die Benutzer sperre?
Ich nehme mal an, dass ich mit der Benutzergruppe "Jeder" eher nicht arbeiten sollte, da dies auch Administratoren beinhaltet. Wenn ich nun den Zugriff für "Jeden" auf ein Verzeichnis sperre, dann sperre ich wohl auch den Admin aus, obwohl es eine Regel gibt "Admins alles genehmigen". Stimmt das so?
DerWoWusste
DerWoWusste 13.08.2013 aktualisiert um 15:00:40 Uhr
Goto Top
Arbeite mit einer Whitelist und nicht mit Sperren.
Erlaube den Admins alles bzw. nutze die Gruppe applockeradmins (hieß die, wenn ich mich nicht täusche). Den Nutzergruppen nur das Nötige, wie Du schon angesagt hattest. Per se ist alles in program files und unterhalb von c:\windows für alle offen, da Windows davon ausgeht, dass dort nur vom Admin gewollte Programme liegen (denn nur der Admin darf dorthin schreiben/dorthin installieren).
Willst Du die dortigen Programme jedoch nicht generell freigeben, musst Du die Defaultregeln ändern.

PS: die genannten "Server Manager, die Powershell und die ganzen Verwaltungsprogramme" können in den Händen von Usern eh keinen Schaden anrichten, ihnen fehlen die Rechte.
Ausserwoeger
Ausserwoeger 13.08.2013 um 15:17:44 Uhr
Goto Top
Hi

Sollten dich die an der startleiste gepinten Servermanager & powershell icons stören kannst du diese mit einem einfachen VBS script automatisch entfernen lassen.
Einfach über eine GPO für die entsprechenden User ausführen lassen.

Option Explicit

Const CSIDL_COMMON_PROGRAMS = &H17
Const CSIDL_PROGRAMS = &H2
Const CSIDL_STARTMENU = &HB

Dim objShell, objFSO
Dim objCurrentUserStartFolder
Dim strCurrentUserStartFolderPath
Dim objAllUsersProgramsFolder
Dim strAllUsersProgramsPath
Dim objFolder
Dim objFolderItem
Dim colVerbs
Dim objVerb

Set objShell = CreateObject("Shell.Application")
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objCurrentUserStartFolder = objShell.NameSpace (CSIDL_STARTMENU)
strCurrentUserStartFolderPath = objCurrentUserStartFolder.Self.Path
Set objAllUsersProgramsFolder = objShell.NameSpace(CSIDL_COMMON_PROGRAMS)
strAllUsersProgramsPath = objAllUsersProgramsFolder.Self.Path


'Server-Manager
If objFSO.FileExists(strAllUsersProgramsPath & "\Administrative Tools\Server Manager.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Administrative Tools")
Set objFolderItem = objFolder.ParseName("Server Manager.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "Von Taskleiste lösen" Then objVerb.DoIt
Next
End If


'Windows PowerShell
If objFSO.FileExists(strAllUsersProgramsPath & "\Accessories\Windows PowerShell\Windows PowerShell.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Accessories\Windows PowerShell")
Set objFolderItem = objFolder.ParseName("Windows PowerShell.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "Von Taskleiste lösen" Then objVerb.DoIt
Next
End If

PS: Solltest du Zb. Outlook an die Taskleiste pinnen wollen geht das auch für alle User per Script:

Option Explicit

Const CSIDL_COMMON_PROGRAMS = &H17
Const CSIDL_PROGRAMS = &H2
Const CSIDL_STARTMENU = &HB

Dim objShell, objFSO
Dim objCurrentUserStartFolder
Dim strCurrentUserStartFolderPath
Dim objAllUsersProgramsFolder
Dim strAllUsersProgramsPath
Dim objFolder
Dim objFolderItem
Dim colVerbs
Dim objVerb

Set objShell = CreateObject("Shell.Application")
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objCurrentUserStartFolder = objShell.NameSpace (CSIDL_STARTMENU)
strCurrentUserStartFolderPath = objCurrentUserStartFolder.Self.Path
Set objAllUsersProgramsFolder = objShell.NameSpace(CSIDL_COMMON_PROGRAMS)
strAllUsersProgramsPath = objAllUsersProgramsFolder.Self.Path


'Outlook
If objFSO.FileExists(strAllUsersProgramsPath & "\Microsoft Office\Microsoft Outlook 2010.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Microsoft Office")
Set objFolderItem = objFolder.ParseName("Microsoft Outlook 2010.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "An Taskleiste anheften" Then objVerb.DoIt
Next
End If

LG Andy
fanello
fanello 13.08.2013 um 15:21:24 Uhr
Goto Top
Hi Andi,

vielen Dank, du kannst meine Gedanken lesen. Danke Danke Danke face-smile face-smile face-smile

Grüße Benny