nufan 10 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Hallo Zusammen Gibt es eine Möglichkeit (am besten per Policy) das ausführen von bestimmten Dateien auf Member Servern zu verhindern? Es geht darum zu verhindern, dass z.b dcpromo auf einem Member Server ausgeführt werden kann. Dias auch wenn der Account, unter welchem der entsprechende Befehl ausgeführt wird, über lokale Administratorenrechte auf dem System verfügt. Danke Grüsse Zitieren
nobex 10 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Du könntest dies über ein GPO mit entspr. Softwareeinschränkungen lösen. Wäre m.E. aber ein schlechter Weg, da der andere (böse) Admin die Einschränkung wieder zurücknehmen kann, so er fit genug ist. Zitieren
lefg 276 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Die Richtlinie: "Angegebene Windows-Anwendungen nicht ausführen", sie ist zu finden in der Benutzerkonfiguration, Adminstrative Vorlagen, System. Zitieren
nobex 10 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Die Richtlinie: "Angegebene Windows-Anwendungen nicht ausführen", sie ist zu finden in der Benutzerkonfiguration, Adminstrative Vorlagen, System. Er wollte die Anwendung 'maschinenabhängig' blocken. Zitieren
nufan 10 Geschrieben 31. Januar 2008 Autor Melden Geschrieben 31. Januar 2008 Danke für die Antwort. Das Richtige wäre natürlich, wenn nur leute mit genügend "knowhow" admin accounts erhalten würden... dass lassen wir jetzt mal aussen vor... sieht sonst jemand eine möglichkeit wie man dies am idealsten lösen könnte? Zitieren
nufan 10 Geschrieben 31. Januar 2008 Autor Melden Geschrieben 31. Januar 2008 die antwort von lefg ist auch noch interessant... so könnte man z.b eine filter policy auf die entsprechende AD Gruppe setzen welche die entsprechenden accounts enthält und dort die anpassungen vornehmen... mal testen ob dies so wirklich verhält... Zitieren
lefg 276 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Es gibt ja keine Admin-Accounts für User, diese können aber Gruppen der Administratoren oder Domänen-Admins angehören. Nun, "eigentlich" sollte eine Aufnahme von Unqualifizierten oder nicht wirklich mit solchen administrativen Aufgaben Betrauten vermieden werden. Manchmal erscheint das aber nicht möglich, es erscheint meist aber nur so. Vielfach gibt es andere Möglichkeiten das Notwendige zu regeln. Interessant wäre jetzt zu wissen, warum andere in die Gruppen aufgenommen werden (müssen?), ob diese Leute tatsächlich administrative Aufgaben zu erledigen haben oder ob es aus Gründen des Ausführen einer Anwendung scheinbar notwendig ist. Zitieren
nufan 10 Geschrieben 31. Januar 2008 Autor Melden Geschrieben 31. Januar 2008 ja korrekt, es gibt keine eigentlichen administrator accounts. es geht hier um useraccounts, welche auf den entsprechenden systemen in der lokalen administratoren gruppe eingetragen sind da sie halt einfach diese rechte benötigen. ich möchte hier jetzt nicht näher darauf eingehen. leider kann ein jeder, der auf einem member server administrator ist, diesen auch promoten. zwar nicht in eine bestehenden domain, da er ja nicht zwingend diese rechte besitzt, aber er kann z.b eine neue domain erstellen... bitte keine weiteren fragen über sinn/unsinn darüber ;-) es geht einfach darum die ausführung von dcpromo zu vermeiden. leider geht dies aber nicht mit "Angegebene Windows-Anwendungen nicht ausführen". Diese einstellung verindert nur das starten von entsprechenden anwendungen über den explorer. über eine cmd box lassen sich die anwendungen dann doch wieder starten.... Zitieren
lefg 276 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 ...über eine cmd box lassen sich die anwendungen dann doch wieder starten....Bist Du da sicher? Zitieren
nufan 10 Geschrieben 31. Januar 2008 Autor Melden Geschrieben 31. Januar 2008 ja bin ich, habs getestet. steht auch in der description der policy setting das dies so ist... kannst z.b notpad.exe in der liste der "blockierten" programme eintragen. Danach kannst du notepad nicht mehr über start ausführen, oder über aufruf aus dem menu starten. öffnetst du aber eine cmd box und rufst notepad.exe auf, so startet die applikation wieder... Zitieren
nobex 10 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Dann probier doch mal eine Blockade über die Computerrichtlinie. Funktioniert dann zwar für Niemanden mehr an der Maschine, aber Du weißt ja wie das Programm wieder freizuschalten ist. Über eine entspr. OU verteilt lässt es sich sogar von den lok. Admins nicht umgehen. Zitieren
lefg 276 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Richtlinien anwenden: Menüeintrag "Ausführen" aus dem Startmenü entfernen Zugriff auf die Eingabeaufforderung verhindern Zitieren
Stephan Betken 43 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Richtlinien anwenden: Menüeintrag "Ausführen" aus dem Startmenü entfernen Zugriff auf die Eingabeaufforderung verhindern Und dann eine Batch, die DCPROMO ausführt!? Zitieren
Stephan Betken 43 Geschrieben 31. Januar 2008 Melden Geschrieben 31. Januar 2008 Du könntest dies über ein GPO mit entspr. Softwareeinschränkungen lösen. Wäre m.E. aber ein schlechter Weg, da der andere (böse) Admin die Einschränkung wieder zurücknehmen kann, so er fit genug ist. Dies scheint aber dennoch die beste Wahl zu sein, da derjenige doch ein wenig "basteln" müsste. Zumindest verhindert man, dass der Server "mal eben" hochgestuft wird. Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.