22
GPO Nur folgende Programme ausführen - Aero Oberfläche wird bei neuen Profilen nicht geladen
Hi,
sobald ich die GPO "Nur zugelassene Programme ausführen" aktiviere, wird bei neuen Profilen die Aeoro Oberfläche auf meinem Terminalserver (2008r2) nicht mehr geladen. Ich habe wohl eine exe gesperrt, die benötigt wird, damit die Aero Oberfläche geladen werden kann. Habt ihr eine Ahnung, welches Programm das sein könnte?
Grüße Benny
sobald ich die GPO "Nur zugelassene Programme ausführen" aktiviere, wird bei neuen Profilen die Aeoro Oberfläche auf meinem Terminalserver (2008r2) nicht mehr geladen. Ich habe wohl eine exe gesperrt, die benötigt wird, damit die Aero Oberfläche geladen werden kann. Habt ihr eine Ahnung, welches Programm das sein könnte?
Grüße Benny
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 214141
Url: https://administrator.de/contentid/214141
Ausgedruckt am: 14.11.2024 um 23:11 Uhr
22 Kommentare
Neuester Kommentar
Hallo Benny,
der Prozess heißt dwm.exe und liegt in
Grüße Uwe
der Prozess heißt dwm.exe und liegt in
C:\windows\system32.Grüße Uwe
1
Hi Uwe,
danke für Deine Antwort. Hilft leider nicht. Nachwievor wird Aero nur geladen, wenn ich die Regel deaktiviere.
Grüße Benny
danke für Deine Antwort. Hilft leider nicht. Nachwievor wird Aero nur geladen, wenn ich die Regel deaktiviere.
Grüße Benny
Bitte zuerst mal diesen Artikel lesen: http://technet.microsoft.com/en-us/library/bb457006.aspx
Danke.
Grüße Uwe
Danke.
Grüße Uwe
Zitat von @fanello:
Hi Uwe,
danke für Deine Antwort. Hilft leider nicht. Nachwievor wird Aero nur geladen, wenn ich die Regel deaktiviere.
Standardmäßig bekommen die User wenn ich mich nicht irre, auf einem Terminal-Server ein Windows-Basis Design zugeteilt. Versuch mal dies mit Desktop>Anpassen auf ein Aero-Design umzustellen.Hi Uwe,
danke für Deine Antwort. Hilft leider nicht. Nachwievor wird Aero nur geladen, wenn ich die Regel deaktiviere.
Danke für Deine Hilfe. Ich werde mir den Artikel mal zu Gemüte führen.
Das umstellen des Designs funktioniert, es wird standardmäßig auch das Aero Design geladen, erst wenn ich meine Regel aktiviere, in der nur ein paar Programme stehen, die ausgeführt werden dürfen, wird das Aero Design nicht mehr geladen.
Das Problem tritt nur auf, wenn sich ein Nutzer das erste mal einloggt, d.h. wenn das Nutzerprofil erstellt wird. Wenn sich ein Nutzer einmal eingeloggt hat und das Profil erstellt wurde, wird im nachhinein immer das Aero Design geladen. Wenn ein Nutzer das Design umstellt, wird beim nächsten Login auch das Aero Design geladen. Ich nehme an, dass es eine exe gibt, die beim erstellen eines Profils aufgerufen wird, um das Aero Design standardmäßig zu laden.
Momentan habe ich folgende Programme vom nicht ausführen ausgenommen:
dwm.exe
explorer.exe
c:\win*
Das umstellen des Designs funktioniert, es wird standardmäßig auch das Aero Design geladen, erst wenn ich meine Regel aktiviere, in der nur ein paar Programme stehen, die ausgeführt werden dürfen, wird das Aero Design nicht mehr geladen.
Das Problem tritt nur auf, wenn sich ein Nutzer das erste mal einloggt, d.h. wenn das Nutzerprofil erstellt wird. Wenn sich ein Nutzer einmal eingeloggt hat und das Profil erstellt wurde, wird im nachhinein immer das Aero Design geladen. Wenn ein Nutzer das Design umstellt, wird beim nächsten Login auch das Aero Design geladen. Ich nehme an, dass es eine exe gibt, die beim erstellen eines Profils aufgerufen wird, um das Aero Design standardmäßig zu laden.
Momentan habe ich folgende Programme vom nicht ausführen ausgenommen:
dwm.exe
explorer.exe
c:\win*
c:\win*
Das funktioniert leider auch nicht so wie in dem Artikel beschrieben, Programme im Windows Ordner sind trotzdem gesperrt.
Das funktioniert leider auch nicht so wie in dem Artikel beschrieben, Programme im Windows Ordner sind trotzdem gesperrt.
Zitat von @fanello:
c:\win*
Das funktioniert leider auch nicht so wie in dem Artikel beschrieben, Programme im Windows Ordner sind trotzdem gesperrt.
Mach daraus eine Ordnerausnahme mit folgendem Pfad C:\Windows\ -> "Nicht eingeschränkt" und C:\Windows\system32 -> "Nicht eingeschränkt" . Und den Server neu starten nicht vergessen WICHTIG!!, sonst wirken die Änderungen nicht.c:\win*
Das funktioniert leider auch nicht so wie in dem Artikel beschrieben, Programme im Windows Ordner sind trotzdem gesperrt.
Wo kann ich denn eine Ordnerregel erstellen? Finde die GPO momentan nicht...
Moin allerseits.
Fanello nutzt Benutzerkonfig - Administrative Vorlagen - System - Nur zugelassenen Windows-Anwendungen auführen
colinardo spricht also von einer anderen GPO.
Fanello, Du solltest nachdenken, die von colinardo zu nutzen, da Deine nicht als Ausführungsschutz gedacht ist und mühelos übergangen werden kann, wie auch aus der Erläuterung zur Policy hervorgeht.
Fanello nutzt Benutzerkonfig - Administrative Vorlagen - System - Nur zugelassenen Windows-Anwendungen auführen
colinardo spricht also von einer anderen GPO.
Fanello, Du solltest nachdenken, die von colinardo zu nutzen, da Deine nicht als Ausführungsschutz gedacht ist und mühelos übergangen werden kann, wie auch aus der Erläuterung zur Policy hervorgeht.
Danke, ich denke du hast Recht, ich bin noch etwas unerfahren 
Was sollte ich denn für den Computer und was für Benutzer konfigurieren. Nicht dass sich meine Regeln nachher gegenseitig blockieren?
Was sollte ich denn für den Computer und was für Benutzer konfigurieren. Nicht dass sich meine Regeln nachher gegenseitig blockieren?
Das sollte die passende GPO für dich sein, um ein Theme festzulegen:
Dort folgenden Pfad eintragen:
Benutzerkonfiguration > Administrative Vorlagen > Systemsteuerung > Anpassung > "Bestimmten visuellen Stil oder "WIndows - klassisch" erzwingen"
%windir%\Resources\Themes\Aero\aero.msstyles
Befass Dich mit applocker (ich sehe gerade, es geht um 2008 R2, da gibt es schon applocker, das ist die Weiterentwicklung von Colinardos). Deine Policy gar nicht mehr benutzen.
Applocker gibt es nur in der Computerkonfig.
Applocker gibt es nur in der Computerkonfig.
Applocker sieht sehr gut aus. Ich möchte allerdings das ausführen von bestimmten Programmen nach Organisationseinheiten bestimmen. Geht das mit Applocker auch irgendwie, oder muss ich dann die Benutzer einer bestimmten Gruppe zuweisen z.B. "Darf Buchhaltungssoftware benutzen" und für diese Gruppe dann die entsprechenden Programme freischalten?
Was ist denn hier die beste Vorgehensweise?
Was ist denn hier die beste Vorgehensweise?
oder muss ich dann die Benutzer einer bestimmten Gruppe zuweisen z.B. "Darf Buchhaltungssoftware benutzen" und für diese Gruppe dann die entsprechenden Programme freischalten?
Genau so.
Jetzt hab ich nur das Problem, dass die ganzen Einstellungen, die ich in Applocker treffe nicht übernommen werden. Die Ereignisanzeige auf dem Terminalserver ist bei Applocker auch komplett leer, dort steht nicht ein einziges Ereignis.
Computer habe ich natürlich 100 mal neu gestartet.
Computer habe ich natürlich 100 mal neu gestartet.
Hast Du den in jeder Anleitung genannten Dienst aktiviert? Ohne den läuft nichts.
1
Danke, den Dienst habe ich aktiviert, das hier hat mir geholfen: http://www.grouppolicy.biz/2013/04/how-to-troubleshoot-applocker/
gpupdate, danach ging es auf einmal, der PC hat die Einstellungen beim starten aus irgendeinem Grund nicht abgerufen...
gpupdate, danach ging es auf einmal, der PC hat die Einstellungen beim starten aus irgendeinem Grund nicht abgerufen...
Danke für eure Hilfe und vielen Dank für den Hinweis auf Applocker, das ist genau das was ich gesucht habe, jetzt funktioniert endlich alles so wie es soll
Edit: Wie gehe ich denn jetzt am geschicktesten vor, damit ich die ganzen Programme, wie Server Manager, die Powershell und die ganzen Verwaltungsprogramme, die im Windows Verzeichnis liegen für die Benutzer sperre?
Ich nehme mal an, dass ich mit der Benutzergruppe "Jeder" eher nicht arbeiten sollte, da dies auch Administratoren beinhaltet. Wenn ich nun den Zugriff für "Jeden" auf ein Verzeichnis sperre, dann sperre ich wohl auch den Admin aus, obwohl es eine Regel gibt "Admins alles genehmigen". Stimmt das so?
Edit: Wie gehe ich denn jetzt am geschicktesten vor, damit ich die ganzen Programme, wie Server Manager, die Powershell und die ganzen Verwaltungsprogramme, die im Windows Verzeichnis liegen für die Benutzer sperre?
Ich nehme mal an, dass ich mit der Benutzergruppe "Jeder" eher nicht arbeiten sollte, da dies auch Administratoren beinhaltet. Wenn ich nun den Zugriff für "Jeden" auf ein Verzeichnis sperre, dann sperre ich wohl auch den Admin aus, obwohl es eine Regel gibt "Admins alles genehmigen". Stimmt das so?
Arbeite mit einer Whitelist und nicht mit Sperren.
Erlaube den Admins alles bzw. nutze die Gruppe applockeradmins (hieß die, wenn ich mich nicht täusche). Den Nutzergruppen nur das Nötige, wie Du schon angesagt hattest. Per se ist alles in program files und unterhalb von c:\windows für alle offen, da Windows davon ausgeht, dass dort nur vom Admin gewollte Programme liegen (denn nur der Admin darf dorthin schreiben/dorthin installieren).
Willst Du die dortigen Programme jedoch nicht generell freigeben, musst Du die Defaultregeln ändern.
PS: die genannten "Server Manager, die Powershell und die ganzen Verwaltungsprogramme" können in den Händen von Usern eh keinen Schaden anrichten, ihnen fehlen die Rechte.
Erlaube den Admins alles bzw. nutze die Gruppe applockeradmins (hieß die, wenn ich mich nicht täusche). Den Nutzergruppen nur das Nötige, wie Du schon angesagt hattest. Per se ist alles in program files und unterhalb von c:\windows für alle offen, da Windows davon ausgeht, dass dort nur vom Admin gewollte Programme liegen (denn nur der Admin darf dorthin schreiben/dorthin installieren).
Willst Du die dortigen Programme jedoch nicht generell freigeben, musst Du die Defaultregeln ändern.
PS: die genannten "Server Manager, die Powershell und die ganzen Verwaltungsprogramme" können in den Händen von Usern eh keinen Schaden anrichten, ihnen fehlen die Rechte.
1
Hi
Sollten dich die an der startleiste gepinten Servermanager & powershell icons stören kannst du diese mit einem einfachen VBS script automatisch entfernen lassen.
Einfach über eine GPO für die entsprechenden User ausführen lassen.
Option Explicit
Const CSIDL_COMMON_PROGRAMS = &H17
Const CSIDL_PROGRAMS = &H2
Const CSIDL_STARTMENU = &HB
Dim objShell, objFSO
Dim objCurrentUserStartFolder
Dim strCurrentUserStartFolderPath
Dim objAllUsersProgramsFolder
Dim strAllUsersProgramsPath
Dim objFolder
Dim objFolderItem
Dim colVerbs
Dim objVerb
Set objShell = CreateObject("Shell.Application")
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objCurrentUserStartFolder = objShell.NameSpace (CSIDL_STARTMENU)
strCurrentUserStartFolderPath = objCurrentUserStartFolder.Self.Path
Set objAllUsersProgramsFolder = objShell.NameSpace(CSIDL_COMMON_PROGRAMS)
strAllUsersProgramsPath = objAllUsersProgramsFolder.Self.Path
'Server-Manager
If objFSO.FileExists(strAllUsersProgramsPath & "\Administrative Tools\Server Manager.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Administrative Tools")
Set objFolderItem = objFolder.ParseName("Server Manager.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "Von Taskleiste lösen" Then objVerb.DoIt
Next
End If
'Windows PowerShell
If objFSO.FileExists(strAllUsersProgramsPath & "\Accessories\Windows PowerShell\Windows PowerShell.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Accessories\Windows PowerShell")
Set objFolderItem = objFolder.ParseName("Windows PowerShell.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "Von Taskleiste lösen" Then objVerb.DoIt
Next
End If
PS: Solltest du Zb. Outlook an die Taskleiste pinnen wollen geht das auch für alle User per Script:
Option Explicit
Const CSIDL_COMMON_PROGRAMS = &H17
Const CSIDL_PROGRAMS = &H2
Const CSIDL_STARTMENU = &HB
Dim objShell, objFSO
Dim objCurrentUserStartFolder
Dim strCurrentUserStartFolderPath
Dim objAllUsersProgramsFolder
Dim strAllUsersProgramsPath
Dim objFolder
Dim objFolderItem
Dim colVerbs
Dim objVerb
Set objShell = CreateObject("Shell.Application")
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objCurrentUserStartFolder = objShell.NameSpace (CSIDL_STARTMENU)
strCurrentUserStartFolderPath = objCurrentUserStartFolder.Self.Path
Set objAllUsersProgramsFolder = objShell.NameSpace(CSIDL_COMMON_PROGRAMS)
strAllUsersProgramsPath = objAllUsersProgramsFolder.Self.Path
'Outlook
If objFSO.FileExists(strAllUsersProgramsPath & "\Microsoft Office\Microsoft Outlook 2010.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Microsoft Office")
Set objFolderItem = objFolder.ParseName("Microsoft Outlook 2010.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "An Taskleiste anheften" Then objVerb.DoIt
Next
End If
LG Andy
Sollten dich die an der startleiste gepinten Servermanager & powershell icons stören kannst du diese mit einem einfachen VBS script automatisch entfernen lassen.
Einfach über eine GPO für die entsprechenden User ausführen lassen.
Option Explicit
Const CSIDL_COMMON_PROGRAMS = &H17
Const CSIDL_PROGRAMS = &H2
Const CSIDL_STARTMENU = &HB
Dim objShell, objFSO
Dim objCurrentUserStartFolder
Dim strCurrentUserStartFolderPath
Dim objAllUsersProgramsFolder
Dim strAllUsersProgramsPath
Dim objFolder
Dim objFolderItem
Dim colVerbs
Dim objVerb
Set objShell = CreateObject("Shell.Application")
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objCurrentUserStartFolder = objShell.NameSpace (CSIDL_STARTMENU)
strCurrentUserStartFolderPath = objCurrentUserStartFolder.Self.Path
Set objAllUsersProgramsFolder = objShell.NameSpace(CSIDL_COMMON_PROGRAMS)
strAllUsersProgramsPath = objAllUsersProgramsFolder.Self.Path
'Server-Manager
If objFSO.FileExists(strAllUsersProgramsPath & "\Administrative Tools\Server Manager.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Administrative Tools")
Set objFolderItem = objFolder.ParseName("Server Manager.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "Von Taskleiste lösen" Then objVerb.DoIt
Next
End If
'Windows PowerShell
If objFSO.FileExists(strAllUsersProgramsPath & "\Accessories\Windows PowerShell\Windows PowerShell.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Accessories\Windows PowerShell")
Set objFolderItem = objFolder.ParseName("Windows PowerShell.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "Von Taskleiste lösen" Then objVerb.DoIt
Next
End If
PS: Solltest du Zb. Outlook an die Taskleiste pinnen wollen geht das auch für alle User per Script:
Option Explicit
Const CSIDL_COMMON_PROGRAMS = &H17
Const CSIDL_PROGRAMS = &H2
Const CSIDL_STARTMENU = &HB
Dim objShell, objFSO
Dim objCurrentUserStartFolder
Dim strCurrentUserStartFolderPath
Dim objAllUsersProgramsFolder
Dim strAllUsersProgramsPath
Dim objFolder
Dim objFolderItem
Dim colVerbs
Dim objVerb
Set objShell = CreateObject("Shell.Application")
Set objFSO = CreateObject("Scripting.FileSystemObject")
Set objCurrentUserStartFolder = objShell.NameSpace (CSIDL_STARTMENU)
strCurrentUserStartFolderPath = objCurrentUserStartFolder.Self.Path
Set objAllUsersProgramsFolder = objShell.NameSpace(CSIDL_COMMON_PROGRAMS)
strAllUsersProgramsPath = objAllUsersProgramsFolder.Self.Path
'Outlook
If objFSO.FileExists(strAllUsersProgramsPath & "\Microsoft Office\Microsoft Outlook 2010.lnk") Then
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Microsoft Office")
Set objFolderItem = objFolder.ParseName("Microsoft Outlook 2010.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
' MsgBox Replace(objVerb.name, "&", "")
If Replace(objVerb.name, "&", "") = "An Taskleiste anheften" Then objVerb.DoIt
Next
End If
LG Andy
1
Hi Andi,
vielen Dank, du kannst meine Gedanken lesen. Danke Danke Danke
Grüße Benny
vielen Dank, du kannst meine Gedanken lesen. Danke Danke Danke
Grüße Benny
