lokale GPO/ Problem mit windows installer

[Hansi 10]

mahlzeit,

 

 

erstelle grad für ein paar Client´ßs in einer Arbeitsgruppe eine lokle GPO.

Per gpedit.msc habe ich mehrer Punkte auf der Ebene der "Benutzerkonfiguration" bearbearbeite..diese greifen auch wunderbar bei dem gewünschten User der lokale Admin rechte besitzt.

Was nicht funtzt ist der Punkt unter Benutzerkonfiguration->administrative vorlagen -> winowskompo..->Windows installer-> Wechselmedien für alle Installationen verhindern !

 

Geht das nur unter der Computerkonfiguration? oder weil der user lokaler admin ist??

[Hansi 10]

keiner nen Plan?

*nerv*

[IThome 10]

Was ist denn das Problem ? Was funktioniert nicht so, wie Du es erwartest ?

[Hansi 10]

"Was nicht funtzt ist der Punkt unter Benutzerkonfiguration->administrative vorlagen -> winowskompo..->Windows installer-> Wechselmedien für alle Installationen verhindern !":D

 

 

Sprich: NAch der Aktivierung der Richtlinie ,kann der user trotzdem noch von einer z.B CD Rom Installieren! ... Warum? Es soll ja verhindert werden!

 

Oder welche Möglichkeit gibt es sonst noch?

[Hansi 10]

sry....stand doch in google!:wink2:

 

"Hinweis

 

• Diese Richtlinie liegt sowohl im Ordner Computerkonfiguration als auch im Ordner Benutzerkonfiguration vor. Die Richtlinie tritt nur dann in Kraft, wenn Sie sie in beiden Ordnern aktivieren

"

[Hansi 10]

....schade funtzt doch nett! was mach ich falsch

[IThome 10]

Funktioniert es auch nicht, wenn der User kein Admin ist ?

[Hansi 10]

nö..hat mit dem Admin nix zutun.

 

Problem hat sich aber erledigt.

Das funktioniert wohl nur bei windows Produkte. Habe eine Office cd eingelegt und bei der Install kam auch sofort die Meldung das der User nicht die Berechtigung hat. Aber bei anderen Medien wird es teilweise nicht unterstützt!

Nach längerem googeln ist mir nun auch Klar das man ohne riesigen Aufwand bzw. Fremdsoftware es nicht schafft solche Vorgänge komplett zu unterbinden!:mad:

 

Schade!

[Hansi 10]

* kram wieder raus *

 

 

Hat wer erfahrung mit so einer "guard software"... welche Empfhelung habt ihr? Wie ist der Pfledeaufwand für solche Anwendungen?

 

Sie sollte folgendes Realisieren:

 

Zugang auf :

 

- sämtliche USB Sticks, USB HDD

- DVD/CD/FD

- Progies die aus dem Netz kommen (trotz firewall/proxy/content)

 

verhindern!

 

 

Kenn da nur Watchguard!

[!aN 10]

Schonmal die versucht?:

 

Benutzerkonfig -> admin Vorl -> Windows-Komponenten -> Win Explorer -> Zugriff auf Laufwerke vom Arbeitsplatz nicht zulassen

 

Alternativ Microsoft Shared Computer Toolkit, oder wie es nun heißt "SteadyState"

Shared Computer Toolkit for Windows XP

 

Da kann man einzelne Laufwerke auch ausblenden. Außerdem lässt sich der Festplattenzustand nach jedem dem Reboot wiederherstellen etc. Schau es dir mal an.

[Hansi 10]

jo..hab ich Probiert!. Aber das Problem ist das DVD Laufwerk als F Gemapt ist. Zudem unterbindet es JA nicht wenn ein USB Stick angeschlossen wird. Schade..kann man das nicht aufbohren ??also so das man mehrere LAufwerke im Dropdown Feld auswählen kann? Das wer genial ..dann würde ich alle Laufwerksbuchstaben sperren ausser die wo der User drauf zugreifen soll..und wenn er einen USB Stick anschliesst sind alle Buchstaben vergeben....Zugriff auf Datenträgerverwaltung unterbinden, trennen von Laufwerken unterbinden...fertig die Laube.....!:D Oder kann man das über die reg händeln?

[!aN 10]

USB deaktivieren.

 

Irgendwie verstehe ich dein Problem nicht?

 

[Hansi 10]

nö, mit dem MS Tool ist mir schon klar wie es funtzt^^! Der Install aufwand ist aber bei der Anzahl der Clients zugross!

HAb mir ein adm template aufgebohrt und die reg zusätzlich beschnitten.Als batch Zusammengeführt und auf die clients gepuscht.

Klappt nun wunderbar.

 

Aber DAnke!:D

[!aN 10]

Du könntest auch einfach mal sagen worüber du da schreibst ;) (bin in dem oberen Posting auf dieser Seite davon ausgegangen, dass es auf meinen Tipp mit dem MSCT anspielt)...

[Hansi 10]

@ !aN:

 

Hallo,

 

 

im Endeffekt versuche ich kleinere Arbeitsgruppen ohne DC so zubeschneiden, dass Sie einige nicht mehr Aktionen ausführen können.

 

Zudem will ich erreichen das keine Art von Wechselmedien an den Clients angeschlossen werden können. Sprich: Es sollen keine daten rein oder raus.

 

Der User soll auch keine Installationen ausführen können.

 

Nach längerem testen, bin nun zudem Punkt gekommen, das ich die User (die alle lokale Adminrechte besitzen) auf eingeschränbkte user umstelle. problem ist nur das SIe dann keine lokale Drucker in Betrieb nehmen können! Teste aber mit den Sicherheitseinstellungen noch rum.

 

Also , wirds wohl so aussehen das ich per lokale GPO die Clients beschneide (kein cmd,Laufwerke mappen, PW änderen etc) und Software anschaffe wie z.B devicewatch.( Nach längerem frikeln, bin ich der Meinung das man mit bordmittel etc. nicht schaft 100% den Datenautsch mit sämtlichen Schnittstellen zuunterbinden.)<- Lass mich aber gerne vom gegenteil überzeugen!;)