feinerkerl
Goto Top

Terminalserver - User dürfen Opera installieren!?

Hallo Ihr Lieben,
ich habe hier einen Terminalserver mit 30 Usern. Kennt jemand eine Möglichkeit, wie ich den eingeschränkten Usern verbieten kann, Browser wie Opera, Chrome usw. zu installieren? Ein Kollege hat opera installiert und ruft mich an, weil er Administratorenrechte braucht, um ihn zu deinstallieren. Beim Admin taucht das Programm nicht unter Apps und Features auf.
Ich nutze eine Sophos UTM9 als Firewall und habe keinen zusätzlichen Virenschutz auf dem Terminalserver.
Hoffe auf interessante Antworten face-smile
LG Marco

Content-ID: 7533178098

Url: https://administrator.de/forum/terminalserver-user-duerfen-opera-installieren-7533178098.html

Ausgedruckt am: 05.04.2025 um 08:04 Uhr

tech-flare
tech-flare 28.09.2023 um 10:56:13 Uhr
Goto Top
Hallo,

Sicher das opera richtig installiert ist in Programme oder Programme x86 und nicht nur als Portable unter AppData liegt?

Gruß
Tezzla
Tezzla 28.09.2023 um 11:08:26 Uhr
Goto Top
Moin und willkommen in der Welt der Installation "im Userkontext", Appdata.

Die Setups von Chrome und Co versuchen bei der Installation initial unter Program Files ihr Glück. Wenn sie keinen Erfolg haben (weil fehlende Rechte) zecken sich diese gern in Appdata und legen dort alles ab.
Du kannst dies verbieten indem nur ausgewählte Programme aus diesem Bereich ausgeführt werden dürfen (z.B. mit Applocker) oder du baust dir Routinen, die regelmäßig die bekannten Programme und ihre Uninstaller durchgehen und automatisch deinstallieren.

So zumindest meine Erfahrung.

Viele Grüße
Lochkartenstanzer
Lochkartenstanzer 28.09.2023 um 11:42:07 Uhr
Goto Top
Moin,

Ganz einfach: Mit ordre die mufti und LART/Cat9.

Also: Alle Benutzer unterzeichen lassen, daß sie keine Software installieren dürfen, ohne euch vorher gefragt zu haben und als Vertragsstrafe 37 Hiebe mit Cat9

lart

lks
erikro
erikro 28.09.2023 um 12:38:24 Uhr
Goto Top
Moin,

Zitat von @Lochkartenstanzer:
Ganz einfach: Mit ordre die mufti und LART/Cat9.

par ordre du mufti

Wenn schon, denn schon. face-wink

Also: Alle Benutzer unterzeichen lassen, daß sie keine Software installieren dürfen

Das ist bei uns eine Dienstanweisung der Geschäftsleitung, an die das bei Verstoß auch gemeldet werden muss. Das funktioniert viel besser als jede technische Lösung.

hth

Erik
ukulele-7
ukulele-7 28.09.2023 um 14:28:39 Uhr
Goto Top
Du kannst auch alle Profildaten nach Abmeldung löschen, dann ist alles noch viel sauberer.
7907292512
7907292512 28.09.2023 aktualisiert um 14:55:10 Uhr
Goto Top
Würde das Teil auch gleich per Applocker vernünftig dicht machen dann können sie die Setups und fremde Software die man nicht explizit freigegeben hat, erst gar nicht ausführen.

Gruß sid.
feinerkerl
feinerkerl 28.09.2023 um 16:44:31 Uhr
Goto Top
Wouw Leute, ich bin begeistert von den Lösungsvorschlägen face-smile
Ich denke ich nehme den Lösungsvorschlag mit der Cat9-Peitsche - wo gibt es die zu bestellen? Oder muss ich die selber bauen? 😜

Dienstanweisung interessiert die meisten hier wenig und auch mit Bericht an Geschäftsleitung komme ich da nicht weiter.

Profildaten nach Abmeldung löschen, da sind dann ja auch alle Verknüpfungen zu den Programme weg. Das wird zu stressig.

Applocker kenne ich noch nicht, schaue ich mir mal an.

Vielen Dank schon mal - Ihr seid die BESTEN 😘
Lochkartenstanzer
Lochkartenstanzer 28.09.2023 um 18:22:40 Uhr
Goto Top
Zitat von @feinerkerl:

Wouw Leute, ich bin begeistert von den Lösungsvorschlägen face-smile
Ich denke ich nehme den Lösungsvorschlag mit der Cat9-Peitsche - wo gibt es die zu bestellen? Oder muss ich die selber bauen? 😜

https://www.getdigital.de/lart-netzwerkpeitsche-cat5-o-nine-tails.html

Aber selbst bauen geht auch recht einfach.


Dienstanweisung interessiert die meisten hier wenig und auch mit Bericht an Geschäftsleitung komme ich da nicht weiter.

Du musßt Sanktionsmöglichkeiten haben. Ansonsten ist das Zeug das Papier nicht wert.

Aber Cat9 am Gürtel und ab und zu damit auf den Tisch schlagen macht da mehr Eindruck. Insbesondere wenn Du dem Anwender Androhst, daß so das Profil gelöscht wird.

Und dem Cheffe mal vorrechnen, was ein Trojaner den Betrieb ggf. kostet und den Usern die Regressmöglichkeiten aufzeigen!



Profildaten nach Abmeldung löschen, da sind dann ja auch alle Verknüpfungen zu den Programme weg. Das wird zu stressig.

No die User sollen da ruhig Mal drN knapsen.



Applocker kenne ich noch nicht, schaue ich mir mal an.

Das wäre eigentlich genau das richtige Tool. (Als Ergänzung zu Cat9).

lks
Globetrotter
Globetrotter 28.09.2023 um 20:46:32 Uhr
Goto Top
.. ich hoooohle Anlauf und.. um demjenigen dann.. genau dieses..
Die Kisten mit Applocker etc. zu härten ist eine Sache.. kann jedoch ein zweischneidiges Schwert werden...
Es gibt unzählige "Apps" welche sich ohne Adminrechte installieren lassen... selbst von M$!

Gruss Globe!
Tezzla
Tezzla 29.09.2023 aktualisiert um 10:48:39 Uhr
Goto Top
Zitat von @Globetrotter:

.. ich hoooohle Anlauf und.. um demjenigen dann.. genau dieses..
Die Kisten mit Applocker etc. zu härten ist eine Sache.. kann jedoch ein zweischneidiges Schwert werden...
Es gibt unzählige "Apps" welche sich ohne Adminrechte installieren lassen... selbst von M$!

Gruss Globe!

Wenn man die Installer von dort aus gar nicht erst ausführen darf, wird da gar nichts installiert face-smile
Und selbst wenn das jemand mit 7Zip entpackt, darf er es trotzdem nicht starten.
Lochkartenstanzer
Lochkartenstanzer 29.09.2023 um 10:55:29 Uhr
Goto Top
Zitat von @Globetrotter:

.. ich hoooohle Anlauf und.. um demjenigen dann.. genau dieses..
Die Kisten mit Applocker etc. zu härten ist eine Sache.. kann jedoch ein zweischneidiges Schwert werden...
Es gibt unzählige "Apps" welche sich ohne Adminrechte installieren lassen... selbst von M$!

Genau das ist der Trick mit AppLocker: Man das Binary zum Installieren überhaupt nicht starten. face-smile

lks