Terminalserver - User dürfen Opera installieren!?
Hallo Ihr Lieben,
ich habe hier einen Terminalserver mit 30 Usern. Kennt jemand eine Möglichkeit, wie ich den eingeschränkten Usern verbieten kann, Browser wie Opera, Chrome usw. zu installieren? Ein Kollege hat opera installiert und ruft mich an, weil er Administratorenrechte braucht, um ihn zu deinstallieren. Beim Admin taucht das Programm nicht unter Apps und Features auf.
Ich nutze eine Sophos UTM9 als Firewall und habe keinen zusätzlichen Virenschutz auf dem Terminalserver.
Hoffe auf interessante Antworten
LG Marco
ich habe hier einen Terminalserver mit 30 Usern. Kennt jemand eine Möglichkeit, wie ich den eingeschränkten Usern verbieten kann, Browser wie Opera, Chrome usw. zu installieren? Ein Kollege hat opera installiert und ruft mich an, weil er Administratorenrechte braucht, um ihn zu deinstallieren. Beim Admin taucht das Programm nicht unter Apps und Features auf.
Ich nutze eine Sophos UTM9 als Firewall und habe keinen zusätzlichen Virenschutz auf dem Terminalserver.
Hoffe auf interessante Antworten
LG Marco
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 7533178098
Url: https://administrator.de/forum/terminalserver-user-duerfen-opera-installieren-7533178098.html
Ausgedruckt am: 05.04.2025 um 08:04 Uhr
11 Kommentare
Neuester Kommentar
Moin und willkommen in der Welt der Installation "im Userkontext", Appdata.
Die Setups von Chrome und Co versuchen bei der Installation initial unter Program Files ihr Glück. Wenn sie keinen Erfolg haben (weil fehlende Rechte) zecken sich diese gern in Appdata und legen dort alles ab.
Du kannst dies verbieten indem nur ausgewählte Programme aus diesem Bereich ausgeführt werden dürfen (z.B. mit Applocker) oder du baust dir Routinen, die regelmäßig die bekannten Programme und ihre Uninstaller durchgehen und automatisch deinstallieren.
So zumindest meine Erfahrung.
Viele Grüße
Die Setups von Chrome und Co versuchen bei der Installation initial unter Program Files ihr Glück. Wenn sie keinen Erfolg haben (weil fehlende Rechte) zecken sich diese gern in Appdata und legen dort alles ab.
Du kannst dies verbieten indem nur ausgewählte Programme aus diesem Bereich ausgeführt werden dürfen (z.B. mit Applocker) oder du baust dir Routinen, die regelmäßig die bekannten Programme und ihre Uninstaller durchgehen und automatisch deinstallieren.
So zumindest meine Erfahrung.
Viele Grüße
Moin,
par ordre du mufti
Wenn schon, denn schon.
Das ist bei uns eine Dienstanweisung der Geschäftsleitung, an die das bei Verstoß auch gemeldet werden muss. Das funktioniert viel besser als jede technische Lösung.
hth
Erik
par ordre du mufti
Wenn schon, denn schon.
Also: Alle Benutzer unterzeichen lassen, daß sie keine Software installieren dürfen
Das ist bei uns eine Dienstanweisung der Geschäftsleitung, an die das bei Verstoß auch gemeldet werden muss. Das funktioniert viel besser als jede technische Lösung.
hth
Erik

Würde das Teil auch gleich per Applocker vernünftig dicht machen dann können sie die Setups und fremde Software die man nicht explizit freigegeben hat, erst gar nicht ausführen.
Gruß sid.
Gruß sid.
Zitat von @feinerkerl:
Wouw Leute, ich bin begeistert von den Lösungsvorschlägen
Ich denke ich nehme den Lösungsvorschlag mit der Cat9-Peitsche - wo gibt es die zu bestellen? Oder muss ich die selber bauen? 😜
Wouw Leute, ich bin begeistert von den Lösungsvorschlägen
Ich denke ich nehme den Lösungsvorschlag mit der Cat9-Peitsche - wo gibt es die zu bestellen? Oder muss ich die selber bauen? 😜
https://www.getdigital.de/lart-netzwerkpeitsche-cat5-o-nine-tails.html
Aber selbst bauen geht auch recht einfach.
Dienstanweisung interessiert die meisten hier wenig und auch mit Bericht an Geschäftsleitung komme ich da nicht weiter.
Du musßt Sanktionsmöglichkeiten haben. Ansonsten ist das Zeug das Papier nicht wert.
Aber Cat9 am Gürtel und ab und zu damit auf den Tisch schlagen macht da mehr Eindruck. Insbesondere wenn Du dem Anwender Androhst, daß so das Profil gelöscht wird.
Und dem Cheffe mal vorrechnen, was ein Trojaner den Betrieb ggf. kostet und den Usern die Regressmöglichkeiten aufzeigen!
Profildaten nach Abmeldung löschen, da sind dann ja auch alle Verknüpfungen zu den Programme weg. Das wird zu stressig.
No die User sollen da ruhig Mal drN knapsen.
Applocker kenne ich noch nicht, schaue ich mir mal an.
Das wäre eigentlich genau das richtige Tool. (Als Ergänzung zu Cat9).
lks
Zitat von @Globetrotter:
.. ich hoooohle Anlauf und.. um demjenigen dann.. genau dieses..
Die Kisten mit Applocker etc. zu härten ist eine Sache.. kann jedoch ein zweischneidiges Schwert werden...
Es gibt unzählige "Apps" welche sich ohne Adminrechte installieren lassen... selbst von M$!
Gruss Globe!
.. ich hoooohle Anlauf und.. um demjenigen dann.. genau dieses..
Die Kisten mit Applocker etc. zu härten ist eine Sache.. kann jedoch ein zweischneidiges Schwert werden...
Es gibt unzählige "Apps" welche sich ohne Adminrechte installieren lassen... selbst von M$!
Gruss Globe!
Wenn man die Installer von dort aus gar nicht erst ausführen darf, wird da gar nichts installiert
Und selbst wenn das jemand mit 7Zip entpackt, darf er es trotzdem nicht starten.
Zitat von @Globetrotter:
.. ich hoooohle Anlauf und.. um demjenigen dann.. genau dieses..
Die Kisten mit Applocker etc. zu härten ist eine Sache.. kann jedoch ein zweischneidiges Schwert werden...
Es gibt unzählige "Apps" welche sich ohne Adminrechte installieren lassen... selbst von M$!
.. ich hoooohle Anlauf und.. um demjenigen dann.. genau dieses..
Die Kisten mit Applocker etc. zu härten ist eine Sache.. kann jedoch ein zweischneidiges Schwert werden...
Es gibt unzählige "Apps" welche sich ohne Adminrechte installieren lassen... selbst von M$!
Genau das ist der Trick mit AppLocker: Man das Binary zum Installieren überhaupt nicht starten.
lks