Software installation verbieten.

[Zentrax 10]

Wie auch nicht anderes zu erwarten ist das gpresult.exe nicht auf den Clients drauf ! Für ne Windows2000 Cd müsste ich nun mit dem Auto ne kleine Weltreise machen da die Schule kaum bis garnix vor Ort hat (sollte ich auch mal änden) haste vielleicht ne download link bei microsoft suche ich mir gerade tot.

 

wie ein weiser administrator immer sagt ... leben ist kein lolly !

 

edit ::: nun wo ich am jammer bin finde ich es natürlich ... moment !

[Zentrax 10]

Microsoft ® Windows ® 2000 Operating System Group Policy Result tool

Copyright © Microsoft Corp. 1981-1999

 

 

Created on Dienstag, 12. Dezember 2006 at 09:18:11

 

 

Operating System Information:

 

Operating System Type: Professional

Operating System Version: 5.0.2195.Service Pack 4

Terminal Server Mode: Not supported

 

###############################################################

 

User Group Policy results for:

 

CN=B020-1,OU=Benutzerkonten,OU=B 020,OU=BBS Wittmund,DC=SCHULE,DC=DE

 

Domain Name: SCHULE

Domain Type: Windows 2000

Site Name: Wittmund

 

Roaming profile: (None)

Local profile: C:\Dokumente und Einstellungen\B020-1

 

The user is a member of the following security groups:

 

SCHULE\Domõnen-Benutzer

\Jeder

VORDEFINIERT\Hauptbenutzer

VORDEFINIERT\Benutzer

NT-AUTORIT─T\INTERAKTIV

NT-AUTORIT─T\Authentifizierte Benutzer

\LOKAL

SCHULE\Alle

SCHULE\B020

 

 

###############################################################

 

Last time Group Policy was applied: Dienstag, 12. Dezember 2006 at 09:02:05

Group Policy was applied from: SWTM.SCHULE.DE

 

 

===============================================================

 

 

The user received "Registry" settings from these GPOs:

 

Zuweisung Proxyserver

 

 

===============================================================

The user received "Internet Explorer Branding" settings from these GPOs:

 

Zuweisung Proxyserver

 

 

 

###############################################################

 

Computer Group Policy results for:

 

CN=BBSB020-1,OU=Computerkonten,OU=B 020,OU=BBS Wittmund,DC=SCHULE,DC=DE

 

Domain Name: SCHULE

Domain Type: Windows 2000

Site Name: Wittmund

 

 

The computer is a member of the following security groups:

 

VORDEFINIERT\Administratoren

\Jeder

VORDEFINIERT\Benutzer

NT-AUTORIT─T\NETZWERK

NT-AUTORIT─T\Authentifizierte Benutzer

SCHULE\BBSB020-1$

SCHULE\Domõnencomputer

 

###############################################################

 

Last time Group Policy was applied: Dienstag, 12. Dezember 2006 at 09:01:57

Group Policy was applied from: SWTM.SCHULE.DE

 

 

===============================================================

 

 

The computer received "Registry" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

 

 

===============================================================

The computer received "Security" settings from these GPOs:

 

Default Domain Policy

 

 

===============================================================

The computer received "EFS recovery" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

[Zentrax 10]

Hier das ganze nochmal aus einem anderen pc raum wo es auch nicht funktioniert !

 

 

Microsoft ® Windows ® 2000 Operating System Group Policy Result tool

Copyright © Microsoft Corp. 1981-1999

 

 

Created on Dienstag, 12. Dezember 2006 at 09:56:14

 

 

Operating System Information:

 

Operating System Type: Professional

Operating System Version: 5.0.2195.Service Pack 4

Terminal Server Mode: Not supported

 

###############################################################

 

User Group Policy results for:

 

CN=C208-29,OU=Benutzerkonten,OU=C 208,OU=BBS Wittmund,DC=SCHULE,DC=DE

 

Domain Name: SCHULE

Domain Type: Windows 2000

Site Name: Wittmund

 

Roaming profile: (None)

Local profile: C:\Dokumente und Einstellungen\c208-29

 

The user is a member of the following security groups:

 

SCHULE\Domänen-Benutzer

\Jeder

VORDEFINIERT\Benutzer

VORDEFINIERT\Hauptbenutzer

NT-AUTORITÄT\INTERAKTIV

NT-AUTORITÄT\Authentifizierte Benutzer

\LOKAL

SCHULE\C208

SCHULE\Alle

SCHULE\Fidelio

 

 

###############################################################

 

Last time Group Policy was applied: Dienstag, 12. Dezember 2006 at 09:45:08

Group Policy was applied from: SWTM.SCHULE.DE

 

 

===============================================================

 

 

The user received "Registry" settings from these GPOs:

 

Zuweisung Proxyserver

 

 

===============================================================

The user received "Internet Explorer Branding" settings from these GPOs:

 

Zuweisung Proxyserver

 

 

 

###############################################################

 

Computer Group Policy results for:

 

CN=BBSC208-28,OU=Computerkonten,OU=C 208,OU=BBS Wittmund,DC=SCHULE,DC=DE

 

Domain Name: SCHULE

Domain Type: Windows 2000

Site Name: Wittmund

 

 

The computer is a member of the following security groups:

 

VORDEFINIERT\Administratoren

\Jeder

VORDEFINIERT\Hauptbenutzer

VORDEFINIERT\Benutzer

NT-AUTORITÄT\NETZWERK

NT-AUTORITÄT\Authentifizierte Benutzer

SCHULE\BBSC208-28$

SCHULE\Domänencomputer

 

###############################################################

 

Last time Group Policy was applied: Dienstag, 12. Dezember 2006 at 04:44:46

Group Policy was applied from: SWTM.SCHULE.DE

 

 

===============================================================

 

 

The computer received "Registry" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

 

 

===============================================================

The computer received "Security" settings from these GPOs:

 

Default Domain Policy

 

 

===============================================================

The computer received "EFS recovery" settings from these GPOs:

 

Richtlinien der lokalen Gruppe

Default Domain Policy

[Christoph35 10]

Hi,

 

sorry, lese grade, dass Windows 2000 Clients die Software-Einschränkungs-Richtlinien gar nicht anwenden können ...

 

Siehe:

Microsoft Windows XP: Using Software Restriction Policies to Protect Against Unauthorized Software

 

Mixed Domain Deployments

It is possible to use software restriction policies in a mixed-mode deployment. That is, you do not have to upgrade your Windows 2000 domain controllers to take advantage of software restriction policies. You can use a Windows XP Professional computer to edit the Group Policy object and configure your software restriction policy. Windows XP and Windows Server 2003 computers that download the GPO will enforce the software restriction policy. Computers running Windows 2000 will ignore the settings.

 

Sind das wirklich alles W2K Clients?

 

Christoph

[Zentrax 10]

Ohh nun wo ich da lesen kommen noch mehr fragen auf !

 

Also ja ALLE meine Clients sind W2k clients ! Der Server ist W2k3 !

 

Aber wenn die eingeschränkerichtliene nicht bei w2k clients greift frage ich mich warum in einem Raum das Perfekt funktioniert seitdem ich dies eingestellt habe !?!? Merkwürdig !

[Christoph35 10]

Das sollten wir jetzt rausfinden... Fangen wir mal mit naheliegenden Dingen an.

 

Wie ist das mit deinen User accounts, sind die lokale Admins auf den Clients?

 

Christoph

[Zentrax 10]

Nein sind sie nicht der einzige hier in der Schule der sich als Lokaler Admin oder Domäne Admin abmelden kann bin ich!

 

Die Schüler und auch Lehrer melden sich über die Domäne an. Als Domäne-Benutzer.

[Zentrax 10]

Ok nun mal ein neuer Ansatz :

 

Ich habe für jeden PC Raum OU´s erstellt (naja die waren schon erstellt als ich das hier übernommen habe) indem sicher Benutzer und Computer Konten befinden. BSP.

 

OU : RaumB020

|

\_______Benuterkonten (mit allen Benutzern drin)

\_______Computerkonten (mit allen Computern drin)

 

Ich bin nun bei gegangen und habe auf der OU RAUMB020 eine Gruppenrichtline entworfen.

 

Also unter Administrative Vorlagen / Windows Installer / Benutzerinstallation (oder ähnlich =)

Und habe dort Niemals zulassen gemacht!

 

Werde nun los laufen und das testen gehen. Vielleicht komme ich ja so zu meinen Ziel Software Installation zu Verbieten.

 

Sollte jemand ein Fehler oder so auffallen ... wie immer wäre ich sehr dankbar !

 

Grüße

[Christoph35 10]

Hmm, könnte sein, dass jetzt auch der Admin nicht mehr installieren darf. Musst Du testen; wenn dem so ist, musst du in den Eigenschaften der Richtlinie ein Deny für den Admin auf Lesen und Anwenden setzen.

 

Christoph

[Zentrax 10]

Gleich die nächste frage ! Wielange brauch so ne Gruppenrichtliene bis sie wirkt ? Im normalfall also bisher hat noch nix gegriffen an der testmaschine wo ich gerade war!

 

Gpupdate ist wie auch anderes zu erwarten nicht auf den Systemen drauf und würde auch soviel arbeit sein das nun nochmal überall drauf zu machen.

 

Christoph35 erstmal danke das du dich so geduldig meiner annimmst !

[Christoph35 10]

GPUpdate gibts auch nur unter xp, für Win 2000 sind das die secedit /refreshpolicy Kommandos.

 

Oder meintest GPResult, das hattest Du doch schon gefunden?!

 

Zu den Zeiten hatte ich weiter oben schon geschrieben, dass das nach 90-120 Minuten aktualisiert wird, wenn Du das nicht manuell machst (secedit, logon, reboot).

 

Übrigens: deine neue Methode verhindert nur Installationen, die über Windows Inntaller vorgenommen werden. Andere Setup Methoden werden nicht geblockt.

 

Das kann man alles schön auf dem Explain Tab im Group Policy Editor nachlesen.

 

Christoph

[Zentrax 10]

ach ne stimmt sorry verchecke das etwas mit xp und win2k. Leider habe ich nur Xp Zertifis keine Win2k.

 

Das mit dem Result habe ich gefunden ! Habe ja auch schon dinge gepostet!

 

Da alle Computer aus sind und ich meine "testmaschine" neu starten musste sollte die Gruppenrichtliene greifen oder gilt das Allgemein das nach 90 - 120 Minuten man mal neustarten sollte ? Sonst gucke ich gegen 15 Uhr nochmal !

 

Edit: Das mit dem Windows Installer hatte ich gelesen. Wusste nur nicht ob Icq den nutzt aber nun wo ich gerade intensive drüber nachgedacht habe. Würde ich eher sagen Nee tut der nicht. Also ist diese Methode auch für´n Eimer. Hmpf

[Christoph35 10]

Beim Booten wird natürlich übernommen, die 90-120 Minuten gelten für den Fall, das zwischendrin nicht rebootet wird für Comp.-Policies, bzw. ein Logoff/Logon vorgenommen wird (für User Policies).

Kann man aber konfigurieren:

How to modify the default group policy refresh interval

 

Christoph

[Sims 10]

Ich weiß ja nicht, wie das bei euch abläuft mit speichern auf der lokalen Festplatte, aber ansonsten könnte man doch was an den lokalen NTFS rechten drehen?

 

Wäre vielleicht ein neuer Ansatz.

[Zentrax 10]

@Sims Wir haben WächterSoftware auf allen Clients. Das heisst die Schüler können auf der lokalen Festplatte was speicher bzw. installieren aber nach einen neustart der Geräte ist alles was auf den Lokalen Platten gespeichert / installiert wurde wieder weg!

 

Daher speichern die Schüler Ihre Daten auf dem Server! Wo die schlauen auch einfach ICQ hin installieren oder die Installation´s-Datei speichern.

 

EDIT: Auf den Server dürfen Sie auch speichern! Wegen Ihren Dokumenten oder was Sie so im Unterricht machen.

 

Ich müsste ne Lösung haben das ICQ (im moment meine größte sorge) garnicht zu installieren ist oder auszuführen ist.

 

Habe von der Hashregel gelesen, nur kenne ich das garnicht und weiß auch nicht wie man damit ICQ lahm legt. Denke das dass noch eine wirkungsvolle Methode wäre.

 

@Christoph35 Danke für den Link habe ich mir durch gelesen. Und gemerkt das ich das auch schonmal in den Büchern gelesen habe. Leider muss es mir entfallen sein. Kommt davon wenn man alles Theroretisch lernt und wenig ausser in der Heimumgebung damit zu tun hat. Was sich hoffentlich nun ändert =)