nizo 10 Geschrieben 26. Mai 2011 Melden Teilen Geschrieben 26. Mai 2011 Hallo liebe Leute, ich möchte über die GPO auf windows 2008 Server bestimmte Programme vom Autostart, die manche Mitarbeiter bei sich im Autostart eingerichtet haben, verhindern, bzw. verbieten. Ich möchte nicht, dass der Benutzer selber, die Programme im Autostart einrichtet. Vielleicht gibt's auch eine Möglichkeit, bestimmte Programme vom Autostrat zu verhindern. Ich danke Euch in Voraus für die Hilfe und die Tipps. Gruß Nizo Zitieren Link zu diesem Kommentar
Robi-Wan 10 Geschrieben 26. Mai 2011 Melden Teilen Geschrieben 26. Mai 2011 Hallo nizo, das Problem ist, dass es viele unterschiedliche Orte gibt, an denen ein Programm zum automatischen Start sich hineinschreiben kann. Eine Standardlösung wird es daher wohl eher nicht geben können. Warum sollen die Mitarbeiter ihre Programme nicht automatisch starten lassen? Oder sollen sie manche Programme überhaupt nicht starten können? Grüße, Robert Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 26. Mai 2011 Autor Melden Teilen Geschrieben 26. Mai 2011 Vielen Dank für die Antwort. Ich möchte nicht, dass die Benutzer foldgenden Programme (Skype, Outlook, Batch Dateien) im Autostart haben, weil sie den Rechner beim Anmelden langsamer machen. Gibt es dafür eine Lösung? Gruß Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 27. Mai 2011 Melden Teilen Geschrieben 27. Mai 2011 Ich möchte nicht, dass die Benutzer foldgenden Programme (Skype, Outlook, Batch Dateien) im Autostart haben, weil sie den Rechner beim Anmelden langsamer machen. Gibt es dafür eine Lösung? Ja, per Group Policy Preferences Beispieleinträge zum löschen erzeugen. Dann wird bei der Übernahme der GPP der Eintrag gelöscht und somit auch nicht ausgeführt. Alternativ könntest Du natürlich den Autostart im allgemeinen mit NTFS Berechtigungen absperren. Zitieren Link zu diesem Kommentar
Robi-Wan 10 Geschrieben 27. Mai 2011 Melden Teilen Geschrieben 27. Mai 2011 (bearbeitet) Hallo Sunny, Alternativ könntest Du natürlich den Autostart im allgemeinen mit NTFS Berechtigungen absperren. das funktioniert aber nur für Programme in der Autostartgruppe im Startmenü. Sobald die Programme das aber anders lösen, dann kommt man mit der NTFS-Lösung nicht weit... Grüße, Robert bearbeitet 27. Mai 2011 von Robi-Wan Zitat hinzugefügt für Klarheit Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 27. Mai 2011 Autor Melden Teilen Geschrieben 27. Mai 2011 Ja, per Group Policy Preferences Beispieleinträge zum löschen erzeugen. Dann wird bei der Übernahme der GPP der Eintrag gelöscht und somit auch nicht ausgeführt. Alternativ könntest Du natürlich den Autostart im allgemeinen mit NTFS Berechtigungen absperren. Ich kann nicht alle anderen vom System im Autostrat Programme löschen. Ich möchte nur bestimmte Programme verhindern. Der User hat Vollzugriff Rechte auf Autostart in seinem Profile. Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 30. Mai 2011 Melden Teilen Geschrieben 30. Mai 2011 das funktioniert aber nur für Programme in der Autostartgruppe im Startmenü. Sobald die Programme das aber anders lösen, dann kommt man mit der NTFS-Lösung nicht weit... Irgendwo im Dateisystem oder in der Registry abgelegte Verknüpfungen erwische ich damit. Auch wenn die Aktion länger dauert. ;) Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 30. Mai 2011 Melden Teilen Geschrieben 30. Mai 2011 Ich kann nicht alle anderen vom System im Autostrat Programme löschen. Ich möchte nur bestimmte Programme verhindern. Mensch, ist das so schwierig sich selbst eine Verknüpfung einzurichten und die per GPP zu löschen? Schau dir das Bild an: http://www.gruppenrichtlinien.de/Bilder/gpp_01.png Registrierung als Stichwort. Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 30. Mai 2011 Autor Melden Teilen Geschrieben 30. Mai 2011 Mensch, ist das so schwierig sich selbst eine Verknüpfung einzurichten und die per GPP zu löschen? Schau dir das Bild an: http://www.gruppenrichtlinien.de/Bilder/gpp_01.png Registrierung als Stichwort. Ich habe nich vielleicht nicht richtig ausgedrückt. Es gibt WS haben DATEV, UPS und SFirm32 darauf, die sind immer im Autostrat, sogra als Dienst. Ich möchte kein UNC Laufwerk einrichten. Ich möchte es nur bestimmten App im Autostrat erlauben. Können Sie mir bitte helfen?? Ich bitte es zu merken, ich bin kein Expert wie Sie. Ich danke im Voraus für die Tipps bzw. Hilfe Gruß Nizo Zitieren Link zu diesem Kommentar
Dominique01520 10 Geschrieben 30. Mai 2011 Melden Teilen Geschrieben 30. Mai 2011 (bearbeitet) Hallo nizo, so wie du es dir vorstellst, geht es leider nicht. Du kannst nicht definieren, welche Programme NICHT gestartet werden dürfen. Wenn es aber doch so wichtig ist, kannst du es genau umgekehrt machen und definieren, welche Programme mitgestartet werden sollen und andere aus dem AutoRun löschen- So kannst du z.B. (wie oben beschrieben) per NTFS-Berechtigung den Benutzern den Schreibzugriff auf die Autostart-Ordner verweigern, bzw, dessen Inhalt löschen. Das Selbe gilt für die Registry-Schlüssel. Hier alle Anwendungen, bis auf Gewünschte löschen und Schreibzugriff entfernen (wie oben). Nun kann der User zwar die gewünschten Programme ausführen, kann aber keine weiteren hinzufügen. Wenn der User Adminrechte hat, kann er aber die Berechtigungen ändern, sofern er weiß, wie das geht... Bei Diensten musst du unerwünschte Dienste deaktivieren/deinstallieren, andersherum geht es hier nicht. Grundsätzlich reicht die Vorgehensweise aber für Programme, wie z.B. Outlook, Skype und diverse Batch-Files. Also, meine Idee als Kurzfassung: Der Benutzer hat immer Leserechte im Autorun-Ordner, sowie in den betreffenden Registry-Keys. Du als Admin löschst dann unerwünschte Programme und lässt gewünschte drin, bzw. startes die auf eine andere Art. Wenn der User dann aber keine Schreibrechte hat, kann er keine neuen Programme hinzufügen, durch die Leserechte kann er aber vorhandene ausführen. Ich hoffe, das hilft dir mit deinem Problem weiter. Ansonsten, wenn du noch Fragen hast oder Hilfe bei der Ausführung brauchst, frag einfach. Gruß Dominique PS.: Wenn es sich um sehr viele Benutzer handelt und du nicht an allen PCs die gleichen Schritte durchführen möchtest, führe das Löschen der Anwendungen an den beschriebenen Stellen und das Setzen der Berechtigungen am Besten mithilfe eines Anmeldeskripts durch. Auch hier: Wenn du Hilfe bei der Ausführung brauchst, einfach fragen :-) BTW: haben die besagten User Admin-Rechte? bearbeitet 30. Mai 2011 von Dominique01520 Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 31. Mai 2011 Autor Melden Teilen Geschrieben 31. Mai 2011 Vielen Dank. Wenn ich die NTFS-Berechtigung von dem Autostrat unter dem Domain-User Profile an schaue, dann hat er Vollzugriffrechte. Unter All User oder Default, hat der PC-Benutzer nur Lese Rechte. Das bedeutet, ich muß zuerst auf alle PCs die Domain-Benutzer die Leseberichtigung einrichten. Ist es os richtig? Wenn ja, wie kann ich es denn mit GPO machen? Wird es durch Script? Mit Script bin ich leider nicht so fit :( Könntest Du mir bitte dabei helfen? Solche Sckripte an mich per email oder hier im Forum anhängen? Ich wäre Dir sehr dankbar. Zitieren Link zu diesem Kommentar
Dominique01520 10 Geschrieben 31. Mai 2011 Melden Teilen Geschrieben 31. Mai 2011 (bearbeitet) Domain-User Profile an schaue, dann hat er Vollzugriffrechte. Unter All User oder Default, hat der PC-Benutzer nur Lese Rechte.Das bedeutet, ich muß zuerst auf alle PCs die Domain-Benutzer die Leseberichtigung einrichten. Das ist richtig so. Per Script musst du die Berechtigungen so anpassen, dass auf alle Ordner nur Leserechte bestehen, außer die Domain-Admins, die haben Vollzugriff. Dann können die Benutzer keine Programme mehr dort ablegen. Nur die Admins können Programme ablegen, löschen oder ändern. Ein Script könnte so aussehen: REM JEDER bekommt nur Leserechte, die Domain-Admins bekommen Vollzugriff. echo J | cacls "%USERPROFILE%\Startmenü\Programme\Autostart" /P Jeder:R Domänen-Admins:F echo J | cacls "%ALLUSERSPROFILE%\Startmenü\Programme\Autostart" /P Jeder:R Domänen-Admins:F Und: REM Hiermit löscht du ALLE Dateien in den Autostart-Ordnern. REM am besten erstellst du dann vielleicht die benötigten Programm-Shortcuts neu. Del /S /Q "%USERPROFILE%\Startmenü\Programme\Autostart\*" Del /S /Q "%ALLUSERSPROFILE%\Startmenü\Programme\Autostart\*" In English sollte das glaube ich so aussehen: REM sets the permissions to everyone can only read, Admins have full access echo Y | cacls "%USERPROFILE%\Start menu\Programs\AutoRun" /P Everyone:R Domain-Admins:F Administrators:F echo Y | cacls "%ALLUSERSPROFILE%\Start menu\Programs\AutoRun" /P Everyone:R Domain-Admins:F Administrators:F REM genauso mit dem delete-Befehl. REM ich kenne aber die englischen Bezeichnungen und Pfade nicht genau. du musst dir das Script anpassen (Pfade und Benutzergruppen etc.) und es danach als Anmeldeskript im AD hinterlegen. Für die Registry gilt das gleiche und kann in etwa so aussehen: subinacl /subkeyreg hkey_current_user\software\microsoft\windows\current version\run /grant=jeder=R subinacl /subkeyreg hkey_current_user\software\microsoft\windows\current version\run /grant=Domänen-Admins=F subinacl /subkeyreg hkey_current_user\software\microsoft\windows\current version\run /grant=Administratoren=F Das ist nur ein Beispiel. Am besten schaust du dir die einzelnen Befehle und Ordnerpfade an , passt sie deinen Bedürfnissen entsprechend an und bindest Sie dann ein. Google vielleicht auch nach Cacls, subinacl, und del. Der Benutzer hat aber wahrscheinlich eh keine Admin-Rechte auf den Registry-Pfad unter HKey_local_machine, deswegen habe ich nur current_user geschrieben. Wenn doch, dann musst du das auch anpassen. Alles, was du hier von brauchst zusammen in eine Bat-Datei schreiben und abspeichern, dann in dem SCRIPTS Ordner kopieren und als Anmeldeskript angeben. ------------ Bitte sag Bescheid, wenn es Windows Vista oder Windows 7-WS gibt, da funktioniert der CACLS-Befehl nicht! Kannst du noch sagen, um wie viele Benutzer es sich ungefähr handelt? Wenn es viele Benutzer sind und/oder du auch Win7/Vista hast und du eine Menge Programme im AutoRun lassen willst, dann würde ich sagen, wir steigen ganz auf E-Mail Verkehr um, dann brauche ich etwas genauere Infos, was die Programme und die Workstations angeht und kann dir ein Script fertig machen. Wenn es dich interessiert, hätte ich noch ein paar Links zu Anmeldeskripts / Batchskripts. Das Ergebnis können wir dann hier posten, dann hat jeder etwas davon. Gruß Dominique bearbeitet 31. Mai 2011 von Dominique01520 Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 31. Mai 2011 Autor Melden Teilen Geschrieben 31. Mai 2011 Vielen Dank, ich werde sie denn testen und das Ergebins hier posten. Ich habe schon WS die XP und Win7 sind. Noch mal vielen Dank. Gruß Nizo Zitieren Link zu diesem Kommentar
Dominique01520 10 Geschrieben 31. Mai 2011 Melden Teilen Geschrieben 31. Mai 2011 Ich habe schon WS die XP und Win7 sind. Hier ist leider das Problem, dann geht das Setzen der Berechtigungen nicht. Da muss man das anders machen. Hier tritt wohl der besagte Fall mit dem e-Mail Verkehr auf... Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 1. Juni 2011 Melden Teilen Geschrieben 1. Juni 2011 Wenn ich die NTFS-Berechtigung von dem Autostrat unter dem Domain-User Profile an schaue, dann hat er Vollzugriffrechte. Unter All User oder Default, hat der PC-Benutzer nur Lese Rechte. Das bedeutet, ich muß zuerst auf alle PCs die Domain-Benutzer die Leseberichtigung einrichten. Ist es os richtig? Wenn ja, wie kann ich es denn mit GPO machen? Wird es durch Script? Über eine GPO kannst Du die Berechtigungen natürlich auch eintragen: Eingeschränkte Gruppen Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.