omaki 10 Geschrieben 23. Juli 2009 Melden Geschrieben 23. Juli 2009 Hi zusammen, ich stehe hier vor der Herausforderung, dass ich auf einigen unserer Clients die Installation eines bestimmten Dienstes zentral verhindern muss. Ist der Dienst drauf sollte er deinstalliert, zumindest aber nicht gestartet werden. Die Startart des Diensts auf "Deaktiviert" zu stellen nutzt hier nicht viel - selbst wenn die entsprechende GPO aktiviert ist, wird eine Installation und automatisches Starten des Dienstes nicht verhindert. Jemand eine Idee? Gruß! Zitieren
omaki 10 Geschrieben 23. Juli 2009 Autor Melden Geschrieben 23. Juli 2009 Nachtrag: Domäne W2K3, Clients XP SP3 Zitieren
Wurstsalat 10 Geschrieben 23. Juli 2009 Melden Geschrieben 23. Juli 2009 hm so eine direkte lösung fällt mir nicht ein... evtl über Richtlinien für Softwareeinschränkungen dass du das Setup oder die Ausführbare Datei dort verweigerst Zitieren
fha 10 Geschrieben 23. Juli 2009 Melden Geschrieben 23. Juli 2009 Also ich hätte direkt gesagt: GPO und den Dienst auf deaktiviert stellen. Ich hatte bisher noch keinen Fall wo das nicht geklappt hat. Was ist denn das für ein Dienst? Als Alternative hätte ich ein Computerskript anzubieten das beim Hochfahren den "SC"-Befehl ausführt und damit bei jedem Neustart den Dienst deaktiviert. Zitieren
phoenixcp 10 Geschrieben 23. Juli 2009 Melden Geschrieben 23. Juli 2009 Vielleicht sollte man viel weiter vorn ansetzen: Wie kann der Dienst auf den betroffenen Clients installiert werden? Haben deine User lokale Adminrechte? Zitieren
chirho 10 Geschrieben 23. Juli 2009 Melden Geschrieben 23. Juli 2009 Hallo. Zusätzlich zur Frage nach den Aminrechten: Wer installiert einen solchen (Geheim)Dienst auf den Clients? Zitieren
omaki 10 Geschrieben 23. Juli 2009 Autor Melden Geschrieben 23. Juli 2009 Okay, ich muss weiter vor anfangen. Wir haben hier eine remote control Software. Wenn unsere Admins diese starten und auf dem Zielhost der entsprechende lokale Server nicht installiert ist, werden diese gefragt, ob der Service gepusht werden soll. Antwortet man hier mit "ja" wird der Service auf den Client gepusht und gestartet. Soweit, so gut. Nun gibt es hier eine Betriebsvereinbarung, in der ausdrücklich eine Handvoll Rechner ausgewiesen ist, auf die diese Soft EBEN NICHT drauf darf. Alle Kollegen wissen das, gab noch nie Probleme. Bis letzte Woche, in einer der Admins eben doch den Server gepusht hat. Was tun, sprach Zeuss? Ich müsste halt eben den Start des Dienstes auf diesen maschinen verhindern. Das Kopieren der betreffenden Dateien kann ich ja nicht verhindern... Zitieren
omaki 10 Geschrieben 23. Juli 2009 Autor Melden Geschrieben 23. Juli 2009 Ach ja, noch was: unsere User sind selbstverständlich alle nicht priviligiert, sondern haben "nur" ganz normale Benutzerrechte. Zitieren
omaki 10 Geschrieben 24. Juli 2009 Autor Melden Geschrieben 24. Juli 2009 Hat wirklich keiner eine Idee? Zitieren
blub 115 Geschrieben 24. Juli 2009 Melden Geschrieben 24. Juli 2009 Hi, Der Dienst legt ja wahrscheinlich einen Regkey an. Erstell einen solchen leeren Dummykey auf den betroffenen Rechnern und entzieh dort alle berechtgungen. Dann kann niemand den Key löschen und neu installieren und die Dienstinstallation fällt auf die Nase. Hilft natürlich nur gegen versehentliche Installation durch Admins. cu blub Zitieren
rakli 13 Geschrieben 24. Juli 2009 Melden Geschrieben 24. Juli 2009 Wenn die Software einen bestimmten Port nutzt, könnte man diesen sperren. Wäre das eine Lösung? Rakli Zitieren
Stephan Betken 43 Geschrieben 25. Juli 2009 Melden Geschrieben 25. Juli 2009 Hat wirklich keiner eine Idee? Die Antworten liest du aber schon, oder? Ich würde mich Wurstsalat anschliessen. evtl über Richtlinien für Softwareeinschränkungen dass du das Setup oder die Ausführbare Datei dort verweigerst Zitieren
lefg 276 Geschrieben 25. Juli 2009 Melden Geschrieben 25. Juli 2009 Neben der Sofwareeinschränkung sehe ich als Möglichkeit das Installieren des Dienstes, dann das Deaktvieren und Enziehen der Startrechte. Die beidsen letzten Punkte als Gruppenrichtlinie auf Registrykeys. Natürlich ein Admin ist ein Admin, ist ein Admin. Zitieren
omaki 10 Geschrieben 28. Juli 2009 Autor Melden Geschrieben 28. Juli 2009 Ja, der Ansatz über die Registry scheint mir am meisten erfolgversprechend. Vielen Dank für diese Anregungen! @Stephan Betken: Ich lese Antworten durchaus, danke für den Hinweis. Leider klappt der Ansatz von Wurstsalat nur eben nicht, da ein Verbot des Ausführens einer Datei offentsichtlich nur auf Userebene und nict auf Dienstebene funktioniert. Kannst es ja mal ausprobieren... Und die Startart auf deaktivert zu stellen ist im Moment des pushens des Dienstes auch keine Lösung. Auch hier wird der Dienst zunächst einmal völlig ohne Fehler und fröhlich gestartet. Von einem Verhindern des Start eines Dienstes kann also keine Rede sein. Zitieren
Wurstsalat 10 Geschrieben 4. August 2009 Melden Geschrieben 4. August 2009 (bearbeitet) Ja, der Ansatz über die Registry scheint mir am meisten erfolgversprechend. Vielen Dank für diese Anregungen! @Stephan Betken: Ich lese Antworten durchaus, danke für den Hinweis. Leider klappt der Ansatz von Wurstsalat nur eben nicht, da ein Verbot des Ausführens einer Datei offentsichtlich nur auf Userebene und nict auf Dienstebene funktioniert. Kannst es ja mal ausprobieren... Und die Startart auf deaktivert zu stellen ist im Moment des pushens des Dienstes auch keine Lösung. Auch hier wird der Dienst zunächst einmal völlig ohne Fehler und fröhlich gestartet. Von einem Verhindern des Start eines Dienstes kann also keine Rede sein. habs extra nach deiner antwort probiert z.B. den druckerwarteschangendienst vom starten abzuhalten...bei mir geht das einwandfrei mittels pfad sowie hashregel bearbeitet 4. August 2009 von Wurstsalat Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.