6
Per GPO sperren: Programme und Funktionen sowie Netzwerkdrucker installieren
Hallo zusammen!
Ich möchte gerne per GPO restriktive Schulungsrechner konfigurieren. Das klappt soweit auch sehr gut, folgende zwei Punkte bereiten mir allerdings ein wenig Kopfschmerzen:
Die Anwender/Benutzer sehen in Windows 7 weiterhin im Computer/Explorer den Punkt "Programm deinstallieren oder ändern". Trotz div. gesetzter und erfolgreich angewendeter Richtlinie(n) bleibt der Punkt hartnäckig bestehen.
Wäre auch nicht weiter schlimm, da die Nutzer trotz Zugriff keine Programme deinstallieren können in Mangel an Rechten. Allerdings können sie Programme ändern (!) und über diesen individuellen Dialog des jeweiligen Programms Veränderungen durchführen bzw. das Programme komplett deinstallieren (je nach dem was der Installer anbietet). Das möchte ich natürlich unterbinden.
Desweiteren können die Benutzer z.B. via Word/Excel Netzwerkdrucker installieren. Auch dort finde ich keinen Punkt in der GPO, der dies vollständig und Systemweit unterbindet.
Vielleicht ist dies soweit auch gar nicht möglich bzw. müsste über ein weiteres Script gesetzt werden oder ich sehe es einfach nicht mehr ;).
Im Netz gibt es dazu zwar viele Anleitungen und Infos, aber über oben genannte "Umwege" können die User trotzdem bestimmte Aktionen ausführen, die ich doch gerne unterbinden würde.
Danke vorab für Infos.
Gruß
Gerrossa
Ich möchte gerne per GPO restriktive Schulungsrechner konfigurieren. Das klappt soweit auch sehr gut, folgende zwei Punkte bereiten mir allerdings ein wenig Kopfschmerzen:
Die Anwender/Benutzer sehen in Windows 7 weiterhin im Computer/Explorer den Punkt "Programm deinstallieren oder ändern". Trotz div. gesetzter und erfolgreich angewendeter Richtlinie(n) bleibt der Punkt hartnäckig bestehen.
Wäre auch nicht weiter schlimm, da die Nutzer trotz Zugriff keine Programme deinstallieren können in Mangel an Rechten. Allerdings können sie Programme ändern (!) und über diesen individuellen Dialog des jeweiligen Programms Veränderungen durchführen bzw. das Programme komplett deinstallieren (je nach dem was der Installer anbietet). Das möchte ich natürlich unterbinden.
Desweiteren können die Benutzer z.B. via Word/Excel Netzwerkdrucker installieren. Auch dort finde ich keinen Punkt in der GPO, der dies vollständig und Systemweit unterbindet.
Vielleicht ist dies soweit auch gar nicht möglich bzw. müsste über ein weiteres Script gesetzt werden oder ich sehe es einfach nicht mehr ;).
Im Netz gibt es dazu zwar viele Anleitungen und Infos, aber über oben genannte "Umwege" können die User trotzdem bestimmte Aktionen ausführen, die ich doch gerne unterbinden würde.
Danke vorab für Infos.
Gruß
Gerrossa
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 269750
Url: https://administrator.de/contentid/269750
Ausgedruckt am: 24.11.2024 um 16:11 Uhr
6 Kommentare
Neuester Kommentar
Moin Moin,
Sollte in diesen Punkt helfen.
Kannst Du Programmbeispiele benennen?
Gruß L.
Zitat von @Gerrossa:
Die Anwender/Benutzer sehen in Windows 7 weiterhin im Computer/Explorer den Punkt "Programm deinstallieren oder
ändern". Trotz div. gesetzter und erfolgreich angewendeter Richtlinie(n) bleibt der Punkt hartnäckig bestehen.
Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung\Software\Programme\Seite "Programme und Funktionen" ausblendenDie Anwender/Benutzer sehen in Windows 7 weiterhin im Computer/Explorer den Punkt "Programm deinstallieren oder
ändern". Trotz div. gesetzter und erfolgreich angewendeter Richtlinie(n) bleibt der Punkt hartnäckig bestehen.
Sollte in diesen Punkt helfen.
Wäre auch nicht weiter schlimm, da die Nutzer trotz Zugriff keine Programme deinstallieren können in Mangel an Rechten.
Allerdings können sie Programme ändern (!) und über diesen individuellen Dialog des jeweiligen Programms
Veränderungen durchführen bzw. das Programme komplett deinstallieren (je nach dem was der Installer anbietet). Das
möchte ich natürlich unterbinden.
Bei mir springt immer die UAC an. Da solltest du noch mal deine Benutzer Berechtigungen prüfen.Allerdings können sie Programme ändern (!) und über diesen individuellen Dialog des jeweiligen Programms
Veränderungen durchführen bzw. das Programme komplett deinstallieren (je nach dem was der Installer anbietet). Das
möchte ich natürlich unterbinden.
Kannst Du Programmbeispiele benennen?
Desweiteren können die Benutzer z.B. via Word/Excel Netzwerkdrucker installieren.
Im Office werden lediglich im AD Freigegebene Drucker zum verbinden angezeigt. Eine Installation von Treiben muss eigentlich via GPO explizit erlaubt werden.Gruß L.
Moin.
Ich bin mir sicher, dass Du über ändern als Nichtadmin nicht deinstallieren kannst, sondern allenfalls reparieren. Hast Du es mal versucht?
Ich bin mir sicher, dass Du über ändern als Nichtadmin nicht deinstallieren kannst, sondern allenfalls reparieren. Hast Du es mal versucht?
Hallo,
es gibt aber auch Software wie zum Beispiel Mozilla Firefox, welche zum installieren und deinstallieren keine administrativen Berechtigungen benötigt. Das ist zwar nicht die Masse, aber diese gibt es auch.
Verbiete definitive nicht Admins auch den zugriff auf die Kommandozeile etc. Ich war auch mal Schüler und man muss vieles beachten. Es sei denn du willst jedes Mal ein neues Image installieren, da jemand zuviel rumgespielt hat.
Zitat von @DerWoWusste:
Ich bin mir sicher, dass Du über ändern als Nichtadmin nicht deinstallieren kannst, sondern allenfalls reparieren. Hast
Du es mal versucht?
Ich bin mir sicher, dass Du über ändern als Nichtadmin nicht deinstallieren kannst, sondern allenfalls reparieren. Hast
Du es mal versucht?
es gibt aber auch Software wie zum Beispiel Mozilla Firefox, welche zum installieren und deinstallieren keine administrativen Berechtigungen benötigt. Das ist zwar nicht die Masse, aber diese gibt es auch.
Verbiete definitive nicht Admins auch den zugriff auf die Kommandozeile etc. Ich war auch mal Schüler und man muss vieles beachten. Es sei denn du willst jedes Mal ein neues Image installieren, da jemand zuviel rumgespielt hat.
Moin Moin,
Diese solltest du von vornherein unterbinden. z.B. per Applocker.
Wenn diese allerdings schon drauf sind kommst damit du natürlich etwas spät.
Gruß L.
Zitat von @Mantigul:
es gibt aber auch Software wie zum Beispiel Mozilla Firefox, welche zum installieren und deinstallieren keine administrativen
Berechtigungen benötigt.
Oh ja die "allseits beliebten" Benutzerinstallationen. Chrome, Dropbox, .... usw.es gibt aber auch Software wie zum Beispiel Mozilla Firefox, welche zum installieren und deinstallieren keine administrativen
Berechtigungen benötigt.
Diese solltest du von vornherein unterbinden. z.B. per Applocker.
Wenn diese allerdings schon drauf sind kommst damit du natürlich etwas spät.
Verbiete definitive nicht Admins auch den zugriff auf die Kommandozeile etc.
Kommandozeile empfinde ich persönlich eher als weniger kritisch solange die Berechtigungen passen, aber klar "Gelegenheit macht Diebe".Gruß L.
Servus,
Vielen Dank. Ich habe den Pfad wohl geistlich ausgeblendet und nur unter Software geschaut. Funktioniert nun und wird nicht mehr angezeigt.
Ich habe mal die Punkte (Ändern, Reparieren) bis zum Ende durchgespielt (z.B. beim VNC Viewer). In der Tat springt am Schluss die UAC auf und fordert die entsprechenden Rechte wenn es um die komplette Deinstallation geht. Asche auf mein Haupt.. Auch Danke an @DerWoWusste.
Korrekt. Auch da hatte ich einen kleinen Fehler in der entsprechenden GPO gehabt, so das nun keine Installation mehr möglich ist durch den jeweiligen Benutzer.
Danke euch beiden & noch einen schönen Dienstag!
Gruß
Gerrossa
Zitat von @Logan000:
Moin Moin,
Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung\Software\Programme\Seite "Programme und Funktionen"
ausblenden
Sollte in diesen Punkt helfen.
Moin Moin,
Benutzerkonfiguration\Administrative Vorlagen\Systemsteuerung\Software\Programme\Seite "Programme und Funktionen"
ausblenden
Sollte in diesen Punkt helfen.
Vielen Dank. Ich habe den Pfad wohl geistlich ausgeblendet und nur unter Software geschaut. Funktioniert nun und wird nicht mehr angezeigt.
Bei mir springt immer die UAC an. Da solltest du noch mal deine Benutzer Berechtigungen prüfen.
Kannst Du Programmbeispiele benennen?
Kannst Du Programmbeispiele benennen?
Ich habe mal die Punkte (Ändern, Reparieren) bis zum Ende durchgespielt (z.B. beim VNC Viewer). In der Tat springt am Schluss die UAC auf und fordert die entsprechenden Rechte wenn es um die komplette Deinstallation geht. Asche auf mein Haupt.. Auch Danke an @DerWoWusste.
> Desweiteren können die Benutzer z.B. via Word/Excel Netzwerkdrucker installieren.
Im Office werden lediglich im AD Freigegebene Drucker zum verbinden angezeigt. Eine Installation von Treiben muss eigentlich via
GPO explizit erlaubt werden.
Im Office werden lediglich im AD Freigegebene Drucker zum verbinden angezeigt. Eine Installation von Treiben muss eigentlich via
GPO explizit erlaubt werden.
Korrekt. Auch da hatte ich einen kleinen Fehler in der entsprechenden GPO gehabt, so das nun keine Installation mehr möglich ist durch den jeweiligen Benutzer.
Danke euch beiden & noch einen schönen Dienstag!
Gruß
Gerrossa
@Mantigul
Ich lasse die Anpassungen vorab von entsprechenden "Kandidaten" ausführlich testen, damit ich sehe was noch gesperrt/geändert werden muss bevor es offiziell eingesetzt wird. Damit ich später nicht genau mit diesem Problem konfrontiert werde.
Ich lasse die Anpassungen vorab von entsprechenden "Kandidaten" ausführlich testen, damit ich sehe was noch gesperrt/geändert werden muss bevor es offiziell eingesetzt wird. Damit ich später nicht genau mit diesem Problem konfrontiert werde.
