Programme vor Deinstallation schützen ?
Hallo an alle
Wir haben mittlerweile 40 Notebooks im Einsatz, Diese sind lediglich als Terminals für unsere Xen-Desktops im Einsatz und bringen praktisch keine andere Software mit. Es sind lediglich lokal ein VPN - Client und der Citrix Receiver installiert sowie ein Teamviewer Host.
Jetzt hat es ein Anwender geschafft, den VPN - Client zu deinstallieren, weil er nicht wusste, was das für ein Programm sein soll und nicht in der Lage war, seine Aktion mit der IT abzustimmen.
Gibt es eine Möglichkeit, die Deinstallation von Programmen über die Systemsteuerung zu sperren ? Aber : nicht generell, sondern gezielt, z.B. indem für einzelne Programme ein Passwort eingerichtet wird, ohne das eine Deinstallation nicht möglich ist ?
Die Notebooks sind Win8, 8.1 und demnächst auch Win 10
Vielen Dank im Voraus
Wir haben mittlerweile 40 Notebooks im Einsatz, Diese sind lediglich als Terminals für unsere Xen-Desktops im Einsatz und bringen praktisch keine andere Software mit. Es sind lediglich lokal ein VPN - Client und der Citrix Receiver installiert sowie ein Teamviewer Host.
Jetzt hat es ein Anwender geschafft, den VPN - Client zu deinstallieren, weil er nicht wusste, was das für ein Programm sein soll und nicht in der Lage war, seine Aktion mit der IT abzustimmen.
Gibt es eine Möglichkeit, die Deinstallation von Programmen über die Systemsteuerung zu sperren ? Aber : nicht generell, sondern gezielt, z.B. indem für einzelne Programme ein Passwort eingerichtet wird, ohne das eine Deinstallation nicht möglich ist ?
Die Notebooks sind Win8, 8.1 und demnächst auch Win 10
Vielen Dank im Voraus
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 282293
Url: https://administrator.de/contentid/282293
Ausgedruckt am: 05.11.2024 um 21:11 Uhr
29 Kommentare
Neuester Kommentar
Moin,
ein Admin bleibt ein Admin bleibt ein Admin.... Also Fakt ist: ein lokaler Admin kann alle Einstellungen die du versuchst zu setzen wieder rückgängig machen und umgehen. Deine Versuche sowas in dieser Konstellation umzusetzen sind also zum scheitern verurteilt.
Du kannst zwar die Rechte entsprechend entziehen, aber wenn der User will kann er wie gesagt sich die Rechte als Admin wieder passend zurücksetzen ...
Gruß grexit.
ein Admin bleibt ein Admin bleibt ein Admin.... Also Fakt ist: ein lokaler Admin kann alle Einstellungen die du versuchst zu setzen wieder rückgängig machen und umgehen. Deine Versuche sowas in dieser Konstellation umzusetzen sind also zum scheitern verurteilt.
Du kannst zwar die Rechte entsprechend entziehen, aber wenn der User will kann er wie gesagt sich die Rechte als Admin wieder passend zurücksetzen ...
Gruß grexit.
Hallo,
wenn Ihr den Usern die Fähigkeit zutraut, Treiber oder andere gerätespezifische Software alleine zu installieren, sollten diese User auch soviel Verständnis haben, dass man eine vorinstallierte Software auf einem Dienst-Laptop, der von der IT installiert und ausgeliefert wurde, nicht einfach deinstalliert, nur weil man nicht weiß, was die Software macht!! Und wenn man es trotzdem macht, hat man eben Pech und muß in die Firmenzentrale fahren und die eigene Dusseligkeit von der IT ausbügeln lassen.
Entweder man ist auf einem Windows-PC Admin oder eben nicht. Und wenn man Admin ist, muß man sich auch so benehmen.
Es gibt verschiedene Lösungen, vorallem aus dem Bildungsbereich, um PCs bei einem Neustart wieder in einen definierten Zustand zu versetzen. Aber das löst Dein Problem auch nicht wirklich.
Eine von Dir beschriebene selective Sperre für das Deistallieren von ausgewählten Treibern oder Programmen ist von MS nicht vorgesehen.
Jürgen
wenn Ihr den Usern die Fähigkeit zutraut, Treiber oder andere gerätespezifische Software alleine zu installieren, sollten diese User auch soviel Verständnis haben, dass man eine vorinstallierte Software auf einem Dienst-Laptop, der von der IT installiert und ausgeliefert wurde, nicht einfach deinstalliert, nur weil man nicht weiß, was die Software macht!! Und wenn man es trotzdem macht, hat man eben Pech und muß in die Firmenzentrale fahren und die eigene Dusseligkeit von der IT ausbügeln lassen.
Entweder man ist auf einem Windows-PC Admin oder eben nicht. Und wenn man Admin ist, muß man sich auch so benehmen.
Es gibt verschiedene Lösungen, vorallem aus dem Bildungsbereich, um PCs bei einem Neustart wieder in einen definierten Zustand zu versetzen. Aber das löst Dein Problem auch nicht wirklich.
Eine von Dir beschriebene selective Sperre für das Deistallieren von ausgewählten Treibern oder Programmen ist von MS nicht vorgesehen.
Jürgen
Dann verhindere halt per lokaler Gruppenrichtlinie den Zugriff auf das Control-Panel zur Deinstallation, dann kann Otto-Normaluser ohne erweiterte Kenntnisse da schon mal nicht rumfuhrwerken.
Trotzdem kann er auch dieses Passwort umgehen wenn er will, indem er einfach den Ordner des Programms löscht, oder die Kommandozeile bemüht(msiexec, etc.) ... ist also nichts halbes und nichts Ganzes.
Aber per LGPO kannst du höchstens ein paar mehr Hürden einbauen...
Trotzdem kann er auch dieses Passwort umgehen wenn er will, indem er einfach den Ordner des Programms löscht, oder die Kommandozeile bemüht(msiexec, etc.) ... ist also nichts halbes und nichts Ganzes.
Aber per LGPO kannst du höchstens ein paar mehr Hürden einbauen...
Eine radikale Lösung wäre, die Verzeichnisberechtigungen der Programme auf der Festplatte so zu verbiegen, dass dem Benutzerkonto explizit die Schreibrechte darauf verweigert werden.
Dann sollte die Deinstallation zumindest daran scheitern, dass sich die Verzeichnisse nicht verändern - ergo auch nicht entfernen - lassen und der Installer sollte von selbst abbrechen.
Falls jemand die Berechtigungen wieder repariert bekommt und die Software verschwindet kann man ihm zumindest Vorsatz trotz besseren Wissens unterstellen und ihn mit dem Notebook so lange verdreschen bis er es lernt.
Dann sollte die Deinstallation zumindest daran scheitern, dass sich die Verzeichnisse nicht verändern - ergo auch nicht entfernen - lassen und der Installer sollte von selbst abbrechen.
Falls jemand die Berechtigungen wieder repariert bekommt und die Software verschwindet kann man ihm zumindest Vorsatz trotz besseren Wissens unterstellen und ihn mit dem Notebook so lange verdreschen bis er es lernt.
Zitat von @frankball:
Lösung gefunden (http://tipps4you.de/tipp-48-win7.html), funktoniert auch unter Win8 + 8.1
Da das Programm nicht üer das Startmenü aufrufbar / deinstallierbar ist, passt diese Lösung für meinen Bedarf. Hilft vielleicht auch jemand anderem
Lösung gefunden (http://tipps4you.de/tipp-48-win7.html), funktoniert auch unter Win8 + 8.1
Da das Programm nicht üer das Startmenü aufrufbar / deinstallierbar ist, passt diese Lösung für meinen Bedarf. Hilft vielleicht auch jemand anderem
Lässt sich aber von jedem Admin wieder rückgängig machen ... ist also auch nur Hemmschwellenerhöher.
Zitat von @emeriks:
Falls jemand die Berechtigungen wieder repariert bekommt und die Software verschwindet kann man ihm zumindest Vorsatz trotz besseren Wissens unterstellen und ihn mit dem Notebook so lange verdreschen bis er es lernt.
Gute Idee! Kannst Du da Notebooks empfehlen, die das auf Dauer überleben?es hatsich herausgestellt, daß sich Cat 9 besser zum verdreschen eignet.
lks
Zitat von @Penny.Cilin:
Der Beitrag ist als gelöst markiert. Aber die Lösung ist nicht beschrieben.
Gruss Penny.
Der Beitrag ist als gelöst markiert. Aber die Lösung ist nicht beschrieben.
Gruss Penny.
Dem TO reicht wohl das:
Zitat von @frankball:
Lösung gefunden (http://tipps4you.de/tipp-48-win7.html), funktoniert auch unter Win8 + 8.1
Da das Programm nicht üer das Startmenü aufrufbar / deinstallierbar ist, passt diese Lösung für meinen Bedarf. Hilft vielleicht auch jemand anderem
Lösung gefunden (http://tipps4you.de/tipp-48-win7.html), funktoniert auch unter Win8 + 8.1
Da das Programm nicht üer das Startmenü aufrufbar / deinstallierbar ist, passt diese Lösung für meinen Bedarf. Hilft vielleicht auch jemand anderem
Adminrechte entziehen, fertig
... und dann sitzt der Benutzer unerreichbar für den IT-Support, weil er selbst keine Rechte hat, zB den VPN neuinstallieren zu können.
Dann kann man nur noch den Umweg über Teamviewer machen [wenngleich auch illegal, wenn von der Firma unerwünscht]
So dass man sich dann ggf. einen Zugriff verschaffen kann.
Dies nur zu diesem Gedanke!
Zitat von @Midivirus:
... und dann sitzt der Benutzer unerreichbar für den IT-Support, weil er selbst keine Rechte hat, zB den VPN neuinstallieren zu können.
Adminrechte entziehen, fertig
... und dann sitzt der Benutzer unerreichbar für den IT-Support, weil er selbst keine Rechte hat, zB den VPN neuinstallieren zu können.
Wenn Der Benutzer keine Adminrechte hat, kommt er erst gar nicht soweit, das VPN zu deinstallieren.
lks
Habe mich falsch ausgedrückt:
Wenn das VPN nicht mehr funktioniert ... hat der Benutzer keinerlei Möglichkeit, dies selbst installieren zu können, auch nicht über ein zwischengespeichertes Applikationspaket vom Hauptserver.
Weshalb fast allen Laptopbenutzern, je nach Firma, zumindest der Vollzugriff gestattet wird.
Natürlich alles geteilter Meinung.
Wenn das VPN nicht mehr funktioniert ... hat der Benutzer keinerlei Möglichkeit, dies selbst installieren zu können, auch nicht über ein zwischengespeichertes Applikationspaket vom Hauptserver.
Weshalb fast allen Laptopbenutzern, je nach Firma, zumindest der Vollzugriff gestattet wird.
Natürlich alles geteilter Meinung.
Zitat von @Midivirus:
Habe mich falsch ausgedrückt:
Wenn das VPN nicht mehr funktioniert ... hat der Benutzer keinerlei Möglichkeit, dies selbst installieren zu können, auch nicht über ein zwischengespeichertes Applikationspaket vom Hauptserver.
Weshalb fast allen Laptopbenutzern, je nach Firma, zumindest der Vollzugriff gestattet wird.
Natürlich alles geteilter Meinung.
Habe mich falsch ausgedrückt:
Wenn das VPN nicht mehr funktioniert ... hat der Benutzer keinerlei Möglichkeit, dies selbst installieren zu können, auch nicht über ein zwischengespeichertes Applikationspaket vom Hauptserver.
Weshalb fast allen Laptopbenutzern, je nach Firma, zumindest der Vollzugriff gestattet wird.
Natürlich alles geteilter Meinung.
Wenns nicht mehr funktioniert hat der User da nix dran rumzufummeln oder zu installieren sondern den IT Support an zu rufen oder den Laptop da vorbei zu bringen.. der DAU würde beim rumfummeln mehr kaputt machen als es helfen würde
Ich hatte nur mal einen Fall:
Da war der Benutzer in Tschechien unterwegs. Das nächste Netz wäre in "Prag" gewesen.
Es ist zwar schon 6 Jahre her, weshalb man dies nicht richtig nachvollziehen kann. [wahrscheinlich auch alle Umstände einfach komisch und nicht mehr zeitgemäß, damals war das so.]
Wahrscheinlich versteht mich keiner, weshalb ich es an dieser Stelle mal überall so stehen lasse.
Da war der Benutzer in Tschechien unterwegs. Das nächste Netz wäre in "Prag" gewesen.
Es ist zwar schon 6 Jahre her, weshalb man dies nicht richtig nachvollziehen kann. [wahrscheinlich auch alle Umstände einfach komisch und nicht mehr zeitgemäß, damals war das so.]
Wahrscheinlich versteht mich keiner, weshalb ich es an dieser Stelle mal überall so stehen lasse.
Hallo,
wir verstehen Dich schon.
Als ich vor vielen Jahren meinen Führerschein gemacht habe, fuhr ich einen Trabbi. Da gehörte eine Zylinderkopfdichtung zur "Basisausstattung" der mitzuführenden Ersatzteile. Und ich habe innerhalb von 30 Minuten unter freien Himmel diese mal wechseln müssen. Das ging auch für einen interessierten Laien problemlos. Heute käme ich nicht mal mehr auf die Idee, an meinem Auto mehr als einen platten Reifen zu wechseln. Schon der Austausch eine defekten Scheinwerferlampe artet zu einer Großreparatur aus.
Was ich damit sagen will: Die Technik ist mittlerweile so komplex und kompliziert, das nur noch ausgebildete Spezialisten in der Lage sind, dort vernünftig zu agieren. Und das gilt nicht nur für Autos.
Ein "normaler" Nutzer eines PCs/ Laptops in einer Firmen-Umgebung hat auf seinem Rechner nichts zu installieren, geschweige denn zu deinstallieren oder zu löschen! Und damit braucht er keine Admin-Rechte.
Wenn er im Außendienst einen Drucker braucht, bekommt er einen von der Firma gestellt und die IT richtet ihn ein. Braucht er einen Scanner - dito.
Und wenn doch mal das System "abraucht", dann gibt es eine Wiederherstellungs-Partition und das System ist nach 20 Minuten wieder so, wie es sein soll.
Natürlich gibt es immer User, die meinen, weil sie ihren Multimedia-Heim-PC alleine im MediaMarkt gekauft haben sind sie auch in der Lage, vernetze Rechner in einer Firmenumbebung zu administrieren. Denen erzähle ich dann obiges Auto-Bsp. Und wenn sie es dann immer noch nicht begreifen, müssen sie eben im Fall der Fälle auf eigene Kosten in die Firmenzentrale kommen. Das machen sie einmal, und spätestens dann haben sie es begriffen. Man muß die User auch "erziehen".
Jürgen
wir verstehen Dich schon.
Als ich vor vielen Jahren meinen Führerschein gemacht habe, fuhr ich einen Trabbi. Da gehörte eine Zylinderkopfdichtung zur "Basisausstattung" der mitzuführenden Ersatzteile. Und ich habe innerhalb von 30 Minuten unter freien Himmel diese mal wechseln müssen. Das ging auch für einen interessierten Laien problemlos. Heute käme ich nicht mal mehr auf die Idee, an meinem Auto mehr als einen platten Reifen zu wechseln. Schon der Austausch eine defekten Scheinwerferlampe artet zu einer Großreparatur aus.
Was ich damit sagen will: Die Technik ist mittlerweile so komplex und kompliziert, das nur noch ausgebildete Spezialisten in der Lage sind, dort vernünftig zu agieren. Und das gilt nicht nur für Autos.
Ein "normaler" Nutzer eines PCs/ Laptops in einer Firmen-Umgebung hat auf seinem Rechner nichts zu installieren, geschweige denn zu deinstallieren oder zu löschen! Und damit braucht er keine Admin-Rechte.
Wenn er im Außendienst einen Drucker braucht, bekommt er einen von der Firma gestellt und die IT richtet ihn ein. Braucht er einen Scanner - dito.
Und wenn doch mal das System "abraucht", dann gibt es eine Wiederherstellungs-Partition und das System ist nach 20 Minuten wieder so, wie es sein soll.
Natürlich gibt es immer User, die meinen, weil sie ihren Multimedia-Heim-PC alleine im MediaMarkt gekauft haben sind sie auch in der Lage, vernetze Rechner in einer Firmenumbebung zu administrieren. Denen erzähle ich dann obiges Auto-Bsp. Und wenn sie es dann immer noch nicht begreifen, müssen sie eben im Fall der Fälle auf eigene Kosten in die Firmenzentrale kommen. Das machen sie einmal, und spätestens dann haben sie es begriffen. Man muß die User auch "erziehen".
Jürgen