huwsig 10 Geschrieben 22. Februar 2008 Melden Teilen Geschrieben 22. Februar 2008 Hallo zusammen, vielleicht könnt ihr mir helfen. Gibt es die Möglichkeit in einem Active Directory die Netzwerkanmeldung diverser Clients, die zum Beispiel keinen Virenscanner installiert haben via Gruppenrichtlinien zu verbieten? Zitieren Link zu diesem Kommentar
Stoni 10 Geschrieben 22. Februar 2008 Melden Teilen Geschrieben 22. Februar 2008 Hallo huwsig und herzlich Willkommen im Board. Was meinst Du mit diverser Clients? VPN User? In einem NW sollte eigentlich meiner Meinung nach per Rollback jeder Client AV haben. Stoni Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 22. Februar 2008 Melden Teilen Geschrieben 22. Februar 2008 Hallo und willkommen im Board :) Das fällt in den Bereich "NAP (Network Access Protection)" und das wird es erst mit 2008 und Vista bzw. XP SP3 geben. Im Moment gibt es das für 2003 als mächtige Skript- und Bastellösung für RAS und VPN-Einwahl und nennt sich Quarantänesteuerung. grizzly999 Zitieren Link zu diesem Kommentar
Stoni 10 Geschrieben 22. Februar 2008 Melden Teilen Geschrieben 22. Februar 2008 wuste ich auch noch nicht:rolleyes: muss mal mehr lesen. Stoni Zitieren Link zu diesem Kommentar
huwsig 10 Geschrieben 23. Februar 2008 Autor Melden Teilen Geschrieben 23. Februar 2008 Ich meinte eigentlich keine VPN Clients, sondern eher Rechner die im Firmennetz sind und auf unergründliche Weise den Virenscanner deinstalliert haben. Diese sollen sich dann nicht am Netzwerk anmelden dürfen... Zitieren Link zu diesem Kommentar
vmorbit 10 Geschrieben 23. Februar 2008 Melden Teilen Geschrieben 23. Februar 2008 als loginscript die silent installation des AV mit der domain oder der site verlinkt... dann kann sich trotzdem jeder anmelden und hat so auch automatisch den AV installiert. wär das keine lösung? greetz Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 23. Februar 2008 Melden Teilen Geschrieben 23. Februar 2008 Ich meinte eigentlich keine VPN Clients, sondern eher Rechner die im Firmennetz sind und auf unergründliche Weise den Virenscanner deinstalliert haben. Diese sollen sich dann nicht am Netzwerk anmelden dürfen... Aus welchem Grund sollten Clients/User den Virenscanner deinstallieren können? Eigentlich nur wenn fälschlicherweise Adminrechte vergeben worden sind. Adminrechte entziehen und schon dürfte das wohl kein Thema mehr sein. Zitieren Link zu diesem Kommentar
huwsig 10 Geschrieben 23. Februar 2008 Autor Melden Teilen Geschrieben 23. Februar 2008 Ja das stimmt schon, und Adminrechte können ja via Gruppenrichtlinien entzogen werden. Überprüfen ob jemand nen AV hat sollte auch via Richtlinien gehen, und die Silentinstallation auch oder täusch ich mich? Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 23. Februar 2008 Melden Teilen Geschrieben 23. Februar 2008 Ja das stimmt schon, und Adminrechte können ja via Gruppenrichtlinien entzogen werden. Du kannst auch ganz einfach das Passwort für den lokalen Admin per Startupscript verändern und natürlich solltest Du die Adminrechte auf den Clients schleunigst entfernen. Oder hat es bestimmte Gründe für die höheren Rechte? Überprüfen ob jemand nen AV hat sollte auch via Richtlinien gehen, und die Silentinstallation auch oder täusch ich mich? Dafür gibts von den meisten Anbietern für AV-Scanner die passenden Konsolen. Da sieht man gleich den Stand der einzelnen Clients. Und eine entsprechende Neuinstallation eines Clients kann man dabei auch Remote vornehmen. Der User kann bzw. soll sich dagegen ja nicht wehren können. Zitieren Link zu diesem Kommentar
huwsig 10 Geschrieben 23. Februar 2008 Autor Melden Teilen Geschrieben 23. Februar 2008 Ja das gibts alles, weiß ich auch, aber es soll in einem Projekt mit Gruppenrichtlienien umgesetzt werden, da hängt der Haken :) Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 23. Februar 2008 Melden Teilen Geschrieben 23. Februar 2008 Ja das stimmt schon, und Adminrechte können ja via Gruppenrichtlinien entzogen werden. Überprüfen ob jemand nen AV hat sollte auch via Richtlinien gehen, und die Silentinstallation auch oder täusch ich mich?Wie soll denn das Entziehen von "Adminrechten" per GPO gehen? Auch die Möglichkeit des Überprüfens der Installation von AV per GPO sehe ich nicht. Was ist mit Silentinstalltion gemeint, eine per Skript gestartete oder per MSI-Datei? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 23. Februar 2008 Melden Teilen Geschrieben 23. Februar 2008 Worum geht es jetzt primär, um das Umsetzen eines Projektes oder um den Schutz des Netzwerkes? Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 23. Februar 2008 Melden Teilen Geschrieben 23. Februar 2008 Ich habe so etwas zu einen anderen Zweck mal gemacht: Im Benutzerkontext wurde ein Startskript ausgeführt, geprüft auf OU-Zugehörigkeit der Rechner und die Gruppenmitgliedschaft der Benutzer. Falls die Bedingung nicht stimmte, dann wurde der Benutzer wieder abgemeldet. Sinn war, Angehörige einer bestimmten Gruppe sollten sich nur an für diese vorgesehenen Rechnern anmelden, nicht an anderen. Letztendlich wurde die gewünschte Wirkung erzielt, die Kids versuchten es nicht mehr an anderen. In Wirklichkeit war ja aber der Bedingung geschummelt, die Anmeldung funktionierte ja noch, das Startskript lief, es wurde geprüft und entsprechend reagiert. Wäre es einem klugen Kopf möglich gewesen , das Ausführen des Skriptes zu verhindern. Nun, die Klientel waren nicht von der Art. Falls es nun primär um den Virenschutz geht, bei mir wird der zentral installiert per AntiVirusKonsole und kein Benutzer kann das ding auf den Clients manipulieren geschweige denn deaktivieren oder deinstallieren. Nun gibt es manchmal ganz spezielle Situationen und besondere User, einflussreiche User. Man könnte versuchen die auszutricksen. Per Startskript in der Computerkonfiguration die Funktionsfähigkeit, das Vorhandensein, den Start des Dienstes für das Antivirus prüfen und den Rechner runterfahren und ausschalten. Dabei noch die Meldung eines bekannten Virus oder sowas Ähnliches den User grüssen lassen. Ich habe sowas bei Bedarf schon gemacht, es aber nur sehr vorsichtig angewandt. Falls kollegiale Gespräche nichts fruchteten, habe ich Vorgänge protokolliert und gemeldet an Leute mit dem grossen Hut auf. Ich habe schon Leute unter Schmerzen lernen oder sie dumm sterben lassen. Letzte Woche suchte ein User ganz verzweifelt die aktuelle Kostenaufstellung.xls, ich habe ihn mehrmals dringend geraten, die Datei auf dem Server im Verzeichnes des Projektes zu speichern, damit diese mit gesichert werde. Er hat es mal wieder nicht gemacht. Ich werde ihn wohl noch ein paar Tage schmoren lassen müssen, ich bin im Moment mit anderen Dingen befasst. Eventuell finde ich die Datei ja später noch auf seiner Workstation. Zitieren Link zu diesem Kommentar
Sunny61 807 Geschrieben 23. Februar 2008 Melden Teilen Geschrieben 23. Februar 2008 Wie soll denn das Entziehen von "Adminrechten" per GPO gehen? Eigentlich auf dem gleichen Weg wie das setzen. Eingeschränkte Gruppen Auszug: So nett wie sich das anhört so gefährlich kann diese Option sein, denn die Einstellung der Eingeschränkten Gruppe ersetzt komplett die lokal vorhandene Konfiguration, bzw. entfernt ggfs. alle Benutzer aus der per Default vorhandenen Gruppe und setzt dort nur noch die Mitglieder ein, die auch in der Eingeschränkten Gruppe definiert sind, spätestens bei erneuter Anmeldung des Users, bzw. nach 90 Minuten, wenn die Sicherheitsrichtlinie per Default Verhalten an die Clients neu übermittelt wird. Komplizierter Satz, einfaches Beispiel. Ich mache Asterix und Obelix zu Lokalen Administratoren über die Funktion der Eingeschränkten Gruppe. Jetzt passiert folgendes, alle ehemaligen Mitglieder der Lokalen Administratoren werden aus dieser Gruppen entfernt und nur noch Asterix und Obelix sind lokale Admins … in diesem Moment haben wir gerade den Domänen-Administrator zu einem einfachen „Benutzer“ an den Workstations degradiert. Man sollte also darauf achten, daß dir original vorhandenen Einstellungen erhalten bleiben und in der obigen Konfiguration nicht nur Asterix und Obelix hinzugefügt werden, sondern auch Administratoren. Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 24. Februar 2008 Melden Teilen Geschrieben 24. Februar 2008 Von der Seite habe ich das noch nie betrachtet. Wäre das aber wirklich geeignet zum Lösen des Problems des Treadowners? Was ist dessen eigentliches Problem, die unberechtigte, ungewollte Deinstallation des AV oder das Umsetzen eines Projektes per Gruppenrichtlinie? Wollen mal abwarten, was der TO antwortet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.