frankball
Goto Top

Programme vor Deinstallation schützen ?

Hallo an alle

Wir haben mittlerweile 40 Notebooks im Einsatz, Diese sind lediglich als Terminals für unsere Xen-Desktops im Einsatz und bringen praktisch keine andere Software mit. Es sind lediglich lokal ein VPN - Client und der Citrix Receiver installiert sowie ein Teamviewer Host.
Jetzt hat es ein Anwender geschafft, den VPN - Client zu deinstallieren, weil er nicht wusste, was das für ein Programm sein soll und nicht in der Lage war, seine Aktion mit der IT abzustimmen.
Gibt es eine Möglichkeit, die Deinstallation von Programmen über die Systemsteuerung zu sperren ? Aber : nicht generell, sondern gezielt, z.B. indem für einzelne Programme ein Passwort eingerichtet wird, ohne das eine Deinstallation nicht möglich ist ?
Die Notebooks sind Win8, 8.1 und demnächst auch Win 10

Vielen Dank im Voraus

Content-ID: 282293

Url: https://administrator.de/contentid/282293

Ausgedruckt am: 05.11.2024 um 21:11 Uhr

SlainteMhath
SlainteMhath 08.09.2015 um 15:32:35 Uhr
Goto Top
Moin,

Gegenfrage. wenn die Kisten eh nur als Temrinals genutzt werden, warum haben dann die User überhaupt Admin-rechte auf den Kisten?

lg,
Slainte
frankball
frankball 08.09.2015 um 15:35:44 Uhr
Goto Top
Hallo Slainte,

Die Frage ist berechtigt. Manche Anwender müssen Software installieren, um z.B Ihre eigenen Drucker zu verwenden oder einen LTE -. Stick zum Laufen zu kriegen usw.
Tjelvar
Tjelvar 08.09.2015 um 15:36:22 Uhr
Goto Top
Adminrechte entziehen, fertig.

GPO erstellen und in der den lokalen Admin deaktivieren und alle bis auf "Administrator" aus der lokalen Administratorgruppe entfernen
frankball
frankball 08.09.2015 um 15:43:57 Uhr
Goto Top
Hallo Tjelvar,

Die Rechner sind nicht in einer Domäne, müsste also bei jedem Notebook einzeln die lokalen Sicherheitsrichtlinien überarbeiten. Klar, ist machbar, nur zeitaufwändig, vor allem, da vielen User sich erst spät abends oder in den frühen Morgenstunden anmelden. Und was passiert, wenn ein User etwas installieren muss ? Drucker- oder Scannersoftware ? Es geht icht darum, den Leuten alles zu verbieten, nur darum, die vorgebenen Programme, die benötigt werden, um die Funktionalität des Systems sicherzustellen.
Tjelvar
Tjelvar 08.09.2015 um 15:48:24 Uhr
Goto Top
Admin heißt Admin heißt Admin. Solange die User den lokalen Admin haben, kannst du denen nichts verbieten, das ist das Problem..
122990
122990 08.09.2015 aktualisiert um 15:49:49 Uhr
Goto Top
Moin,
ein Admin bleibt ein Admin bleibt ein Admin.... Also Fakt ist: ein lokaler Admin kann alle Einstellungen die du versuchst zu setzen wieder rückgängig machen und umgehen. Deine Versuche sowas in dieser Konstellation umzusetzen sind also zum scheitern verurteilt.
Du kannst zwar die Rechte entsprechend entziehen, aber wenn der User will kann er wie gesagt sich die Rechte als Admin wieder passend zurücksetzen ...

Gruß grexit.
Lochkartenstanzer
Lochkartenstanzer 08.09.2015 um 16:07:20 Uhr
Goto Top
Moin,

nachdem offensichtlich die User "lokale Admins sein müssen", wird da auf lange Sicht nur die Erziehung durch Cat9 helfen. face-smile

lks
chiefteddy
chiefteddy 08.09.2015 um 16:07:27 Uhr
Goto Top
Hallo,

wenn Ihr den Usern die Fähigkeit zutraut, Treiber oder andere gerätespezifische Software alleine zu installieren, sollten diese User auch soviel Verständnis haben, dass man eine vorinstallierte Software auf einem Dienst-Laptop, der von der IT installiert und ausgeliefert wurde, nicht einfach deinstalliert, nur weil man nicht weiß, was die Software macht!! Und wenn man es trotzdem macht, hat man eben Pech und muß in die Firmenzentrale fahren und die eigene Dusseligkeit von der IT ausbügeln lassen.

Entweder man ist auf einem Windows-PC Admin oder eben nicht. Und wenn man Admin ist, muß man sich auch so benehmen.

Es gibt verschiedene Lösungen, vorallem aus dem Bildungsbereich, um PCs bei einem Neustart wieder in einen definierten Zustand zu versetzen. Aber das löst Dein Problem auch nicht wirklich.

Eine von Dir beschriebene selective Sperre für das Deistallieren von ausgewählten Treibern oder Programmen ist von MS nicht vorgesehen.

Jürgen
frankball
frankball 08.09.2015 um 16:09:59 Uhr
Goto Top
Hallo grexit,

ist mir auch klar

Ich versuchs trotzdem noch mal, ich möchte gezielt die Deinstallation eines einzelnen Programms über die Systemsteuerung verhindern, ggf auch über eine Software, die es mir erlaubt, ein Passwort auf die Deinstallation eines Programms in der LIste zu setzen. Es geht nicht darum, den Leuten alles zu verbieten, sondern nur durch die Passwortabfrage darauf hinzuweisen, dass dieses Programm wichtig ist
122990
122990 08.09.2015 aktualisiert um 16:17:25 Uhr
Goto Top
Dann verhindere halt per lokaler Gruppenrichtlinie den Zugriff auf das Control-Panel zur Deinstallation, dann kann Otto-Normaluser ohne erweiterte Kenntnisse da schon mal nicht rumfuhrwerken.

Trotzdem kann er auch dieses Passwort umgehen wenn er will, indem er einfach den Ordner des Programms löscht, oder die Kommandozeile bemüht(msiexec, etc.) ... ist also nichts halbes und nichts Ganzes.

Aber per LGPO kannst du höchstens ein paar mehr Hürden einbauen...
runasservice
runasservice 08.09.2015 um 16:21:56 Uhr
Goto Top
Hallo,

ich möchte gezielt die Deinstallation eines einzelnen Programms über die Systemsteuerung verhindern,

Einfach Eintrag aus der Registry löschen, was nicht angezeigt wird, kann auch nicht schnell gelöscht werden, fertig...

MfG Andreas
emeriks
emeriks 08.09.2015 um 16:23:10 Uhr
Goto Top
Hi,
man könnte ein UAI Script einbauen, welches als geplante Aufgabe bei Systemstart prüft, ob die Anwendung drauf ist, und wenn nicht, diese wieder installiert. Software-Verteilung Lite.

E.
frankball
frankball 08.09.2015 um 16:28:14 Uhr
Goto Top
Lösung gefunden (http://tipps4you.de/tipp-48-win7.html), funktoniert auch unter Win8 + 8.1
Da das Programm nicht üer das Startmenü aufrufbar / deinstallierbar ist, passt diese Lösung für meinen Bedarf. Hilft vielleicht auch jemand anderem
LordGurke
LordGurke 09.09.2015 um 01:54:58 Uhr
Goto Top
Eine radikale Lösung wäre, die Verzeichnisberechtigungen der Programme auf der Festplatte so zu verbiegen, dass dem Benutzerkonto explizit die Schreibrechte darauf verweigert werden.
Dann sollte die Deinstallation zumindest daran scheitern, dass sich die Verzeichnisse nicht verändern - ergo auch nicht entfernen - lassen und der Installer sollte von selbst abbrechen.

Falls jemand die Berechtigungen wieder repariert bekommt und die Software verschwindet kann man ihm zumindest Vorsatz trotz besseren Wissens unterstellen und ihn mit dem Notebook so lange verdreschen bis er es lernt.
emeriks
emeriks 09.09.2015 um 08:41:04 Uhr
Goto Top
Falls jemand die Berechtigungen wieder repariert bekommt und die Software verschwindet kann man ihm zumindest Vorsatz trotz besseren Wissens unterstellen und ihn mit dem Notebook so lange verdreschen bis er es lernt.
Gute Idee! Kannst Du da Notebooks empfehlen, die das auf Dauer überleben?
Tjelvar
Tjelvar 09.09.2015 um 08:46:06 Uhr
Goto Top
Ich kann da die Rugged Edition von Dell empfehlen

Dell Latitude 14 Rugged
SlainteMhath
SlainteMhath 09.09.2015 um 08:46:27 Uhr
Goto Top
Gute Idee! Kannst Du da Notebooks empfehlen, die das auf Dauer überleben?
ToughBooks von Panasonic eignen sich sehr gut dafür .)
AnkhMorpork
AnkhMorpork 09.09.2015 aktualisiert um 08:59:09 Uhr
Goto Top
Zitat von @frankball:

Lösung gefunden (http://tipps4you.de/tipp-48-win7.html), funktoniert auch unter Win8 + 8.1
Da das Programm nicht üer das Startmenü aufrufbar / deinstallierbar ist, passt diese Lösung für meinen Bedarf. Hilft vielleicht auch jemand anderem

Lässt sich aber von jedem Admin wieder rückgängig machen ... ist also auch nur Hemmschwellenerhöher.
Lochkartenstanzer
Lochkartenstanzer 09.09.2015 um 09:00:45 Uhr
Goto Top
Zitat von @emeriks:

Falls jemand die Berechtigungen wieder repariert bekommt und die Software verschwindet kann man ihm zumindest Vorsatz trotz besseren Wissens unterstellen und ihn mit dem Notebook so lange verdreschen bis er es lernt.
Gute Idee! Kannst Du da Notebooks empfehlen, die das auf Dauer überleben?

es hatsich herausgestellt, daß sich Cat 9 besser zum verdreschen eignet.

lks
Penny.Cilin
Penny.Cilin 09.09.2015 um 14:05:24 Uhr
Goto Top
Der Beitrag ist als gelöst markiert. Aber die Lösung ist nicht beschrieben. face-sad


Gruss Penny.
122990
122990 09.09.2015 aktualisiert um 14:07:29 Uhr
Goto Top
Zitat von @Penny.Cilin:

Der Beitrag ist als gelöst markiert. Aber die Lösung ist nicht beschrieben. face-sad
Gruss Penny.

Dem TO reicht wohl das:

Zitat von @frankball:

Lösung gefunden (http://tipps4you.de/tipp-48-win7.html), funktoniert auch unter Win8 + 8.1
Da das Programm nicht üer das Startmenü aufrufbar / deinstallierbar ist, passt diese Lösung für meinen Bedarf. Hilft vielleicht auch jemand anderem
Midivirus
Midivirus 09.09.2015 um 14:18:40 Uhr
Goto Top
Adminrechte entziehen, fertig


... und dann sitzt der Benutzer unerreichbar für den IT-Support, weil er selbst keine Rechte hat, zB den VPN neuinstallieren zu können.
Dann kann man nur noch den Umweg über Teamviewer machen [wenngleich auch illegal, wenn von der Firma unerwünscht]

So dass man sich dann ggf. einen Zugriff verschaffen kann.

Dies nur zu diesem Gedanke!
Lochkartenstanzer
Lochkartenstanzer 09.09.2015 aktualisiert um 14:22:42 Uhr
Goto Top
Zitat von @Midivirus:

Adminrechte entziehen, fertig


... und dann sitzt der Benutzer unerreichbar für den IT-Support, weil er selbst keine Rechte hat, zB den VPN neuinstallieren zu können.

Wenn Der Benutzer keine Adminrechte hat, kommt er erst gar nicht soweit, das VPN zu deinstallieren. face-smile

lks
Midivirus
Midivirus 09.09.2015 um 14:27:32 Uhr
Goto Top
Habe mich falsch ausgedrückt:

Wenn das VPN nicht mehr funktioniert ... hat der Benutzer keinerlei Möglichkeit, dies selbst installieren zu können, auch nicht über ein zwischengespeichertes Applikationspaket vom Hauptserver.

Weshalb fast allen Laptopbenutzern, je nach Firma, zumindest der Vollzugriff gestattet wird.

Natürlich alles geteilter Meinung.
Tjelvar
Tjelvar 09.09.2015 um 15:35:00 Uhr
Goto Top
Zitat von @Midivirus:

Habe mich falsch ausgedrückt:

Wenn das VPN nicht mehr funktioniert ... hat der Benutzer keinerlei Möglichkeit, dies selbst installieren zu können, auch nicht über ein zwischengespeichertes Applikationspaket vom Hauptserver.

Weshalb fast allen Laptopbenutzern, je nach Firma, zumindest der Vollzugriff gestattet wird.

Natürlich alles geteilter Meinung.

Wenns nicht mehr funktioniert hat der User da nix dran rumzufummeln oder zu installieren sondern den IT Support an zu rufen oder den Laptop da vorbei zu bringen.. der DAU würde beim rumfummeln mehr kaputt machen als es helfen würde
Midivirus
Midivirus 15.09.2015 um 14:26:31 Uhr
Goto Top
... oder in einem Fehlerfall die Installation erneut auszuführen!
Midivirus
Midivirus 15.09.2015 um 14:29:10 Uhr
Goto Top
Ich hatte nur mal einen Fall:
Da war der Benutzer in Tschechien unterwegs. Das nächste Netz wäre in "Prag" gewesen.
Es ist zwar schon 6 Jahre her, weshalb man dies nicht richtig nachvollziehen kann. [wahrscheinlich auch alle Umstände einfach komisch und nicht mehr zeitgemäß, damals war das so.]


Wahrscheinlich versteht mich keiner, weshalb ich es an dieser Stelle mal überall so stehen lasse.
chiefteddy
chiefteddy 15.09.2015 aktualisiert um 16:56:03 Uhr
Goto Top
Hallo,

wir verstehen Dich schon.

Als ich vor vielen Jahren meinen Führerschein gemacht habe, fuhr ich einen Trabbi. Da gehörte eine Zylinderkopfdichtung zur "Basisausstattung" der mitzuführenden Ersatzteile. Und ich habe innerhalb von 30 Minuten unter freien Himmel diese mal wechseln müssen. Das ging auch für einen interessierten Laien problemlos. Heute käme ich nicht mal mehr auf die Idee, an meinem Auto mehr als einen platten Reifen zu wechseln. Schon der Austausch eine defekten Scheinwerferlampe artet zu einer Großreparatur aus.

Was ich damit sagen will: Die Technik ist mittlerweile so komplex und kompliziert, das nur noch ausgebildete Spezialisten in der Lage sind, dort vernünftig zu agieren. Und das gilt nicht nur für Autos.

Ein "normaler" Nutzer eines PCs/ Laptops in einer Firmen-Umgebung hat auf seinem Rechner nichts zu installieren, geschweige denn zu deinstallieren oder zu löschen! Und damit braucht er keine Admin-Rechte.

Wenn er im Außendienst einen Drucker braucht, bekommt er einen von der Firma gestellt und die IT richtet ihn ein. Braucht er einen Scanner - dito.

Und wenn doch mal das System "abraucht", dann gibt es eine Wiederherstellungs-Partition und das System ist nach 20 Minuten wieder so, wie es sein soll.

Natürlich gibt es immer User, die meinen, weil sie ihren Multimedia-Heim-PC alleine im MediaMarkt gekauft haben sind sie auch in der Lage, vernetze Rechner in einer Firmenumbebung zu administrieren. Denen erzähle ich dann obiges Auto-Bsp. Und wenn sie es dann immer noch nicht begreifen, müssen sie eben im Fall der Fälle auf eigene Kosten in die Firmenzentrale kommen. Das machen sie einmal, und spätestens dann haben sie es begriffen. Man muß die User auch "erziehen". face-wink

Jürgen
Penny.Cilin
Penny.Cilin 16.09.2015 um 12:11:11 Uhr
Goto Top
Full Ack face-smile