29
Programme vor Deinstallation schützen ?
Hallo an alle
Wir haben mittlerweile 40 Notebooks im Einsatz, Diese sind lediglich als Terminals für unsere Xen-Desktops im Einsatz und bringen praktisch keine andere Software mit. Es sind lediglich lokal ein VPN - Client und der Citrix Receiver installiert sowie ein Teamviewer Host.
Jetzt hat es ein Anwender geschafft, den VPN - Client zu deinstallieren, weil er nicht wusste, was das für ein Programm sein soll und nicht in der Lage war, seine Aktion mit der IT abzustimmen.
Gibt es eine Möglichkeit, die Deinstallation von Programmen über die Systemsteuerung zu sperren ? Aber : nicht generell, sondern gezielt, z.B. indem für einzelne Programme ein Passwort eingerichtet wird, ohne das eine Deinstallation nicht möglich ist ?
Die Notebooks sind Win8, 8.1 und demnächst auch Win 10
Vielen Dank im Voraus
Wir haben mittlerweile 40 Notebooks im Einsatz, Diese sind lediglich als Terminals für unsere Xen-Desktops im Einsatz und bringen praktisch keine andere Software mit. Es sind lediglich lokal ein VPN - Client und der Citrix Receiver installiert sowie ein Teamviewer Host.
Jetzt hat es ein Anwender geschafft, den VPN - Client zu deinstallieren, weil er nicht wusste, was das für ein Programm sein soll und nicht in der Lage war, seine Aktion mit der IT abzustimmen.
Gibt es eine Möglichkeit, die Deinstallation von Programmen über die Systemsteuerung zu sperren ? Aber : nicht generell, sondern gezielt, z.B. indem für einzelne Programme ein Passwort eingerichtet wird, ohne das eine Deinstallation nicht möglich ist ?
Die Notebooks sind Win8, 8.1 und demnächst auch Win 10
Vielen Dank im Voraus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 282293
Url: https://administrator.de/contentid/282293
Printed on: April 19, 2024 at 21:04 o'clock
29 Comments
Latest comment
Moin,
Gegenfrage. wenn die Kisten eh nur als Temrinals genutzt werden, warum haben dann die User überhaupt Admin-rechte auf den Kisten?
lg,
Slainte
Gegenfrage. wenn die Kisten eh nur als Temrinals genutzt werden, warum haben dann die User überhaupt Admin-rechte auf den Kisten?
lg,
Slainte
Hallo Slainte,
Die Frage ist berechtigt. Manche Anwender müssen Software installieren, um z.B Ihre eigenen Drucker zu verwenden oder einen LTE -. Stick zum Laufen zu kriegen usw.
Die Frage ist berechtigt. Manche Anwender müssen Software installieren, um z.B Ihre eigenen Drucker zu verwenden oder einen LTE -. Stick zum Laufen zu kriegen usw.
Adminrechte entziehen, fertig.
GPO erstellen und in der den lokalen Admin deaktivieren und alle bis auf "Administrator" aus der lokalen Administratorgruppe entfernen
GPO erstellen und in der den lokalen Admin deaktivieren und alle bis auf "Administrator" aus der lokalen Administratorgruppe entfernen
Hallo Tjelvar,
Die Rechner sind nicht in einer Domäne, müsste also bei jedem Notebook einzeln die lokalen Sicherheitsrichtlinien überarbeiten. Klar, ist machbar, nur zeitaufwändig, vor allem, da vielen User sich erst spät abends oder in den frühen Morgenstunden anmelden. Und was passiert, wenn ein User etwas installieren muss ? Drucker- oder Scannersoftware ? Es geht icht darum, den Leuten alles zu verbieten, nur darum, die vorgebenen Programme, die benötigt werden, um die Funktionalität des Systems sicherzustellen.
Die Rechner sind nicht in einer Domäne, müsste also bei jedem Notebook einzeln die lokalen Sicherheitsrichtlinien überarbeiten. Klar, ist machbar, nur zeitaufwändig, vor allem, da vielen User sich erst spät abends oder in den frühen Morgenstunden anmelden. Und was passiert, wenn ein User etwas installieren muss ? Drucker- oder Scannersoftware ? Es geht icht darum, den Leuten alles zu verbieten, nur darum, die vorgebenen Programme, die benötigt werden, um die Funktionalität des Systems sicherzustellen.
Admin heißt Admin heißt Admin. Solange die User den lokalen Admin haben, kannst du denen nichts verbieten, das ist das Problem..
Moin,
ein Admin bleibt ein Admin bleibt ein Admin.... Also Fakt ist: ein lokaler Admin kann alle Einstellungen die du versuchst zu setzen wieder rückgängig machen und umgehen. Deine Versuche sowas in dieser Konstellation umzusetzen sind also zum scheitern verurteilt.
Du kannst zwar die Rechte entsprechend entziehen, aber wenn der User will kann er wie gesagt sich die Rechte als Admin wieder passend zurücksetzen ...
Gruß grexit.
ein Admin bleibt ein Admin bleibt ein Admin.... Also Fakt ist: ein lokaler Admin kann alle Einstellungen die du versuchst zu setzen wieder rückgängig machen und umgehen. Deine Versuche sowas in dieser Konstellation umzusetzen sind also zum scheitern verurteilt.
Du kannst zwar die Rechte entsprechend entziehen, aber wenn der User will kann er wie gesagt sich die Rechte als Admin wieder passend zurücksetzen ...
Gruß grexit.
1
Moin,
nachdem offensichtlich die User "lokale Admins sein müssen", wird da auf lange Sicht nur die Erziehung durch Cat9 helfen.
lks
nachdem offensichtlich die User "lokale Admins sein müssen", wird da auf lange Sicht nur die Erziehung durch Cat9 helfen.
lks
Hallo,
wenn Ihr den Usern die Fähigkeit zutraut, Treiber oder andere gerätespezifische Software alleine zu installieren, sollten diese User auch soviel Verständnis haben, dass man eine vorinstallierte Software auf einem Dienst-Laptop, der von der IT installiert und ausgeliefert wurde, nicht einfach deinstalliert, nur weil man nicht weiß, was die Software macht!! Und wenn man es trotzdem macht, hat man eben Pech und muß in die Firmenzentrale fahren und die eigene Dusseligkeit von der IT ausbügeln lassen.
Entweder man ist auf einem Windows-PC Admin oder eben nicht. Und wenn man Admin ist, muß man sich auch so benehmen.
Es gibt verschiedene Lösungen, vorallem aus dem Bildungsbereich, um PCs bei einem Neustart wieder in einen definierten Zustand zu versetzen. Aber das löst Dein Problem auch nicht wirklich.
Eine von Dir beschriebene selective Sperre für das Deistallieren von ausgewählten Treibern oder Programmen ist von MS nicht vorgesehen.
Jürgen
wenn Ihr den Usern die Fähigkeit zutraut, Treiber oder andere gerätespezifische Software alleine zu installieren, sollten diese User auch soviel Verständnis haben, dass man eine vorinstallierte Software auf einem Dienst-Laptop, der von der IT installiert und ausgeliefert wurde, nicht einfach deinstalliert, nur weil man nicht weiß, was die Software macht!! Und wenn man es trotzdem macht, hat man eben Pech und muß in die Firmenzentrale fahren und die eigene Dusseligkeit von der IT ausbügeln lassen.
Entweder man ist auf einem Windows-PC Admin oder eben nicht. Und wenn man Admin ist, muß man sich auch so benehmen.
Es gibt verschiedene Lösungen, vorallem aus dem Bildungsbereich, um PCs bei einem Neustart wieder in einen definierten Zustand zu versetzen. Aber das löst Dein Problem auch nicht wirklich.
Eine von Dir beschriebene selective Sperre für das Deistallieren von ausgewählten Treibern oder Programmen ist von MS nicht vorgesehen.
Jürgen
Hallo grexit,
ist mir auch klar
Ich versuchs trotzdem noch mal, ich möchte gezielt die Deinstallation eines einzelnen Programms über die Systemsteuerung verhindern, ggf auch über eine Software, die es mir erlaubt, ein Passwort auf die Deinstallation eines Programms in der LIste zu setzen. Es geht nicht darum, den Leuten alles zu verbieten, sondern nur durch die Passwortabfrage darauf hinzuweisen, dass dieses Programm wichtig ist
ist mir auch klar
Ich versuchs trotzdem noch mal, ich möchte gezielt die Deinstallation eines einzelnen Programms über die Systemsteuerung verhindern, ggf auch über eine Software, die es mir erlaubt, ein Passwort auf die Deinstallation eines Programms in der LIste zu setzen. Es geht nicht darum, den Leuten alles zu verbieten, sondern nur durch die Passwortabfrage darauf hinzuweisen, dass dieses Programm wichtig ist
Dann verhindere halt per lokaler Gruppenrichtlinie den Zugriff auf das Control-Panel zur Deinstallation, dann kann Otto-Normaluser ohne erweiterte Kenntnisse da schon mal nicht rumfuhrwerken.
Trotzdem kann er auch dieses Passwort umgehen wenn er will, indem er einfach den Ordner des Programms löscht, oder die Kommandozeile bemüht(msiexec, etc.) ... ist also nichts halbes und nichts Ganzes.
Aber per LGPO kannst du höchstens ein paar mehr Hürden einbauen...
Trotzdem kann er auch dieses Passwort umgehen wenn er will, indem er einfach den Ordner des Programms löscht, oder die Kommandozeile bemüht(msiexec, etc.) ... ist also nichts halbes und nichts Ganzes.
Aber per LGPO kannst du höchstens ein paar mehr Hürden einbauen...
Hallo,
Einfach Eintrag aus der Registry löschen, was nicht angezeigt wird, kann auch nicht schnell gelöscht werden, fertig...
MfG Andreas
ich möchte gezielt die Deinstallation eines einzelnen Programms über die Systemsteuerung verhindern,
Einfach Eintrag aus der Registry löschen, was nicht angezeigt wird, kann auch nicht schnell gelöscht werden, fertig...
MfG Andreas
Hi,
man könnte ein UAI Script einbauen, welches als geplante Aufgabe bei Systemstart prüft, ob die Anwendung drauf ist, und wenn nicht, diese wieder installiert. Software-Verteilung Lite.
E.
man könnte ein UAI Script einbauen, welches als geplante Aufgabe bei Systemstart prüft, ob die Anwendung drauf ist, und wenn nicht, diese wieder installiert. Software-Verteilung Lite.
E.
Lösung gefunden (http://tipps4you.de/tipp-48-win7.html), funktoniert auch unter Win8 + 8.1
Da das Programm nicht üer das Startmenü aufrufbar / deinstallierbar ist, passt diese Lösung für meinen Bedarf. Hilft vielleicht auch jemand anderem
Da das Programm nicht üer das Startmenü aufrufbar / deinstallierbar ist, passt diese Lösung für meinen Bedarf. Hilft vielleicht auch jemand anderem
Eine radikale Lösung wäre, die Verzeichnisberechtigungen der Programme auf der Festplatte so zu verbiegen, dass dem Benutzerkonto explizit die Schreibrechte darauf verweigert werden.
Dann sollte die Deinstallation zumindest daran scheitern, dass sich die Verzeichnisse nicht verändern - ergo auch nicht entfernen - lassen und der Installer sollte von selbst abbrechen.
Falls jemand die Berechtigungen wieder repariert bekommt und die Software verschwindet kann man ihm zumindest Vorsatz trotz besseren Wissens unterstellen und ihn mit dem Notebook so lange verdreschen bis er es lernt.
Dann sollte die Deinstallation zumindest daran scheitern, dass sich die Verzeichnisse nicht verändern - ergo auch nicht entfernen - lassen und der Installer sollte von selbst abbrechen.
Falls jemand die Berechtigungen wieder repariert bekommt und die Software verschwindet kann man ihm zumindest Vorsatz trotz besseren Wissens unterstellen und ihn mit dem Notebook so lange verdreschen bis er es lernt.
Falls jemand die Berechtigungen wieder repariert bekommt und die Software verschwindet kann man ihm zumindest Vorsatz trotz besseren Wissens unterstellen und ihn mit dem Notebook so lange verdreschen bis er es lernt.
Gute Idee! Kannst Du da Notebooks empfehlen, die das auf Dauer überleben?Gute Idee! Kannst Du da Notebooks empfehlen, die das auf Dauer überleben?
ToughBooks von Panasonic eignen sich sehr gut dafür .)
Zitat von @frankball:
Lösung gefunden (http://tipps4you.de/tipp-48-win7.html), funktoniert auch unter Win8 + 8.1
Da das Programm nicht üer das Startmenü aufrufbar / deinstallierbar ist, passt diese Lösung für meinen Bedarf. Hilft vielleicht auch jemand anderem
Lösung gefunden (http://tipps4you.de/tipp-48-win7.html), funktoniert auch unter Win8 + 8.1
Da das Programm nicht üer das Startmenü aufrufbar / deinstallierbar ist, passt diese Lösung für meinen Bedarf. Hilft vielleicht auch jemand anderem
Lässt sich aber von jedem Admin wieder rückgängig machen ... ist also auch nur Hemmschwellenerhöher.
Zitat von @emeriks:
Falls jemand die Berechtigungen wieder repariert bekommt und die Software verschwindet kann man ihm zumindest Vorsatz trotz besseren Wissens unterstellen und ihn mit dem Notebook so lange verdreschen bis er es lernt.
Gute Idee! Kannst Du da Notebooks empfehlen, die das auf Dauer überleben?es hatsich herausgestellt, daß sich Cat 9 besser zum verdreschen eignet.
lks
Der Beitrag ist als gelöst markiert. Aber die Lösung ist nicht beschrieben. 
Gruss Penny.
Gruss Penny.
Zitat von @Penny.Cilin:
Der Beitrag ist als gelöst markiert. Aber die Lösung ist nicht beschrieben.
Gruss Penny.
Der Beitrag ist als gelöst markiert. Aber die Lösung ist nicht beschrieben.
Gruss Penny.
Dem TO reicht wohl das:
Zitat von @frankball:
Lösung gefunden (http://tipps4you.de/tipp-48-win7.html), funktoniert auch unter Win8 + 8.1
Da das Programm nicht üer das Startmenü aufrufbar / deinstallierbar ist, passt diese Lösung für meinen Bedarf. Hilft vielleicht auch jemand anderem
Lösung gefunden (http://tipps4you.de/tipp-48-win7.html), funktoniert auch unter Win8 + 8.1
Da das Programm nicht üer das Startmenü aufrufbar / deinstallierbar ist, passt diese Lösung für meinen Bedarf. Hilft vielleicht auch jemand anderem
Adminrechte entziehen, fertig
... und dann sitzt der Benutzer unerreichbar für den IT-Support, weil er selbst keine Rechte hat, zB den VPN neuinstallieren zu können.
Dann kann man nur noch den Umweg über Teamviewer machen [wenngleich auch illegal, wenn von der Firma unerwünscht]
So dass man sich dann ggf. einen Zugriff verschaffen kann.
Dies nur zu diesem Gedanke!
Zitat von @Midivirus:
... und dann sitzt der Benutzer unerreichbar für den IT-Support, weil er selbst keine Rechte hat, zB den VPN neuinstallieren zu können.
Adminrechte entziehen, fertig
... und dann sitzt der Benutzer unerreichbar für den IT-Support, weil er selbst keine Rechte hat, zB den VPN neuinstallieren zu können.
Wenn Der Benutzer keine Adminrechte hat, kommt er erst gar nicht soweit, das VPN zu deinstallieren.
lks
Habe mich falsch ausgedrückt:
Wenn das VPN nicht mehr funktioniert ... hat der Benutzer keinerlei Möglichkeit, dies selbst installieren zu können, auch nicht über ein zwischengespeichertes Applikationspaket vom Hauptserver.
Weshalb fast allen Laptopbenutzern, je nach Firma, zumindest der Vollzugriff gestattet wird.
Natürlich alles geteilter Meinung.
Wenn das VPN nicht mehr funktioniert ... hat der Benutzer keinerlei Möglichkeit, dies selbst installieren zu können, auch nicht über ein zwischengespeichertes Applikationspaket vom Hauptserver.
Weshalb fast allen Laptopbenutzern, je nach Firma, zumindest der Vollzugriff gestattet wird.
Natürlich alles geteilter Meinung.
Zitat von @Midivirus:
Habe mich falsch ausgedrückt:
Wenn das VPN nicht mehr funktioniert ... hat der Benutzer keinerlei Möglichkeit, dies selbst installieren zu können, auch nicht über ein zwischengespeichertes Applikationspaket vom Hauptserver.
Weshalb fast allen Laptopbenutzern, je nach Firma, zumindest der Vollzugriff gestattet wird.
Natürlich alles geteilter Meinung.
Habe mich falsch ausgedrückt:
Wenn das VPN nicht mehr funktioniert ... hat der Benutzer keinerlei Möglichkeit, dies selbst installieren zu können, auch nicht über ein zwischengespeichertes Applikationspaket vom Hauptserver.
Weshalb fast allen Laptopbenutzern, je nach Firma, zumindest der Vollzugriff gestattet wird.
Natürlich alles geteilter Meinung.
Wenns nicht mehr funktioniert hat der User da nix dran rumzufummeln oder zu installieren sondern den IT Support an zu rufen oder den Laptop da vorbei zu bringen.. der DAU würde beim rumfummeln mehr kaputt machen als es helfen würde
... oder in einem Fehlerfall die Installation erneut auszuführen!
Ich hatte nur mal einen Fall:
Da war der Benutzer in Tschechien unterwegs. Das nächste Netz wäre in "Prag" gewesen.
Es ist zwar schon 6 Jahre her, weshalb man dies nicht richtig nachvollziehen kann. [wahrscheinlich auch alle Umstände einfach komisch und nicht mehr zeitgemäß, damals war das so.]
Wahrscheinlich versteht mich keiner, weshalb ich es an dieser Stelle mal überall so stehen lasse.
Da war der Benutzer in Tschechien unterwegs. Das nächste Netz wäre in "Prag" gewesen.
Es ist zwar schon 6 Jahre her, weshalb man dies nicht richtig nachvollziehen kann. [wahrscheinlich auch alle Umstände einfach komisch und nicht mehr zeitgemäß, damals war das so.]
Wahrscheinlich versteht mich keiner, weshalb ich es an dieser Stelle mal überall so stehen lasse.
Hallo,
wir verstehen Dich schon.
Als ich vor vielen Jahren meinen Führerschein gemacht habe, fuhr ich einen Trabbi. Da gehörte eine Zylinderkopfdichtung zur "Basisausstattung" der mitzuführenden Ersatzteile. Und ich habe innerhalb von 30 Minuten unter freien Himmel diese mal wechseln müssen. Das ging auch für einen interessierten Laien problemlos. Heute käme ich nicht mal mehr auf die Idee, an meinem Auto mehr als einen platten Reifen zu wechseln. Schon der Austausch eine defekten Scheinwerferlampe artet zu einer Großreparatur aus.
Was ich damit sagen will: Die Technik ist mittlerweile so komplex und kompliziert, das nur noch ausgebildete Spezialisten in der Lage sind, dort vernünftig zu agieren. Und das gilt nicht nur für Autos.
Ein "normaler" Nutzer eines PCs/ Laptops in einer Firmen-Umgebung hat auf seinem Rechner nichts zu installieren, geschweige denn zu deinstallieren oder zu löschen! Und damit braucht er keine Admin-Rechte.
Wenn er im Außendienst einen Drucker braucht, bekommt er einen von der Firma gestellt und die IT richtet ihn ein. Braucht er einen Scanner - dito.
Und wenn doch mal das System "abraucht", dann gibt es eine Wiederherstellungs-Partition und das System ist nach 20 Minuten wieder so, wie es sein soll.
Natürlich gibt es immer User, die meinen, weil sie ihren Multimedia-Heim-PC alleine im MediaMarkt gekauft haben sind sie auch in der Lage, vernetze Rechner in einer Firmenumbebung zu administrieren. Denen erzähle ich dann obiges Auto-Bsp. Und wenn sie es dann immer noch nicht begreifen, müssen sie eben im Fall der Fälle auf eigene Kosten in die Firmenzentrale kommen. Das machen sie einmal, und spätestens dann haben sie es begriffen. Man muß die User auch "erziehen".
Jürgen
wir verstehen Dich schon.
Als ich vor vielen Jahren meinen Führerschein gemacht habe, fuhr ich einen Trabbi. Da gehörte eine Zylinderkopfdichtung zur "Basisausstattung" der mitzuführenden Ersatzteile. Und ich habe innerhalb von 30 Minuten unter freien Himmel diese mal wechseln müssen. Das ging auch für einen interessierten Laien problemlos. Heute käme ich nicht mal mehr auf die Idee, an meinem Auto mehr als einen platten Reifen zu wechseln. Schon der Austausch eine defekten Scheinwerferlampe artet zu einer Großreparatur aus.
Was ich damit sagen will: Die Technik ist mittlerweile so komplex und kompliziert, das nur noch ausgebildete Spezialisten in der Lage sind, dort vernünftig zu agieren. Und das gilt nicht nur für Autos.
Ein "normaler" Nutzer eines PCs/ Laptops in einer Firmen-Umgebung hat auf seinem Rechner nichts zu installieren, geschweige denn zu deinstallieren oder zu löschen! Und damit braucht er keine Admin-Rechte.
Wenn er im Außendienst einen Drucker braucht, bekommt er einen von der Firma gestellt und die IT richtet ihn ein. Braucht er einen Scanner - dito.
Und wenn doch mal das System "abraucht", dann gibt es eine Wiederherstellungs-Partition und das System ist nach 20 Minuten wieder so, wie es sein soll.
Natürlich gibt es immer User, die meinen, weil sie ihren Multimedia-Heim-PC alleine im MediaMarkt gekauft haben sind sie auch in der Lage, vernetze Rechner in einer Firmenumbebung zu administrieren. Denen erzähle ich dann obiges Auto-Bsp. Und wenn sie es dann immer noch nicht begreifen, müssen sie eben im Fall der Fälle auf eigene Kosten in die Firmenzentrale kommen. Das machen sie einmal, und spätestens dann haben sie es begriffen. Man muß die User auch "erziehen".
Jürgen
1
Full Ack
