Dominique01520 10 Geschrieben 1. Juni 2011 Melden Teilen Geschrieben 1. Juni 2011 Über eine GPO kannst Du die Berechtigungen natürlich auch eintragen: Eingeschränkte Gruppen Ich glaube, ich kann dir nicht ganz folgen. Was hat er davon, die Benutzer wild in Gruppen zu verschieben, wenn er aus dem Vollzugriff in den ACLs des Autoruns eigentlich Leserechte machen möchte? Und wenn ich diesen Artikel richtig interpretiert habe, gibt er den Benutzern mehr Rechte? Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 1. Juni 2011 Autor Melden Teilen Geschrieben 1. Juni 2011 Wenn es dich interessiert, hätte ich noch ein paar Links zu Anmeldeskripts / Batchskripts. Dominique Ich habe Interesse daran. Danke Dir im Voraus. Gruß Nizo Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 1. Juni 2011 Melden Teilen Geschrieben 1. Juni 2011 Ich glaube, ich kann dir nicht ganz folgen. Den Eindruck habe ich auch. ;) Was hat er davon, die Benutzer wild in Gruppen zu verschieben, wenn er aus dem Vollzugriff in den ACLs des Autoruns eigentlich Leserechte machen möchte? Die NTFS-Berechtigungen per GPO in der Registry anpassen. Und wenn ich diesen Artikel richtig interpretiert habe, gibt er den Benutzern mehr Rechte? Nein, Du kannst doch die NTFS-Berechtigungen vergeben. Ob Du wegnimmst oder hinzufügst, das Prinzip ist das gleiche. Lies doch den Teil der Registrierung: Eingeschränkte Gruppen Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 1. Juni 2011 Autor Melden Teilen Geschrieben 1. Juni 2011 Soll ich Standard Registriy Berichrigung einstellugen unter "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" ändern? Sie sieht wie folgends aus:- 1- (Gruppe) Ersteller-Besitzer --> Spezielle Berichtigungen --> Vollzugruff 2- (Gruppe)System --> Vollzugriff 3- (Gruppe) Administratoren --> Vollzugriff 4- (Gruppe) Benutzer (PC\Benutzer) --> Lesen Wenn ich diese Einträge ändern. dann soll es nur aussehen:- 1- (Gruppe)System --> Vollzugriff 2- (Gruppe) Administratoren --> Vollzugriff Alle anderen werden gelöscht bzw. entfernet. Diesen Eintrag habe ich unter Users\.Default\software\Microsoft\Windows\CurrentVersion\Run... Siehe Anhang. Ist es richtig?? Wenn ich es denn so auf der Default Domain Policy einrichten? Ich danke für die Hilfe. Gruß Zitieren Link zu diesem Kommentar
Dominique01520 10 Geschrieben 1. Juni 2011 Melden Teilen Geschrieben 1. Juni 2011 (bearbeitet) Grundsätzlich ja, aber die Nutzer brauchen alle Leserechte. Und ganz wichtig: "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" In dem Fall das Selbe. Jeder hat Leserechte, nur Admin und System hat Vollzugriff. Gruß Dominique bearbeitet 1. Juni 2011 von Dominique01520 Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 6. Juni 2011 Autor Melden Teilen Geschrieben 6. Juni 2011 Hallo, ich habe es dennso wie ich vorher besprieben hatte, gemacht. Leider funktioniert es nicht, der Domain User hat immer Vollzugriffrechte. Die Sicherheit war nur für Administrator , System ---> Vollzugriff und jeder --> Lesen. Der Domainuser war der Ersteller, und damit hat er Vollzugriffrechte. Irgende Idea?? Danke im Voraus. Zitieren Link zu diesem Kommentar
Dominique01520 10 Geschrieben 6. Juni 2011 Melden Teilen Geschrieben 6. Juni 2011 Ok, so auf die Schnelle fällt mir nicht viel dazu ein, du müsstest die Veerbung herausnehmen. Denn die berechtigungen des Unterschlüssels werden von der obersten Struktur übernommen. Ansonsten kannst du auch via Script bei jeder Anmeldung den Inhalt des run-unterschlüssles löschen. Das ist aber eher eine Alternativmethode. Wie sieht es denn mit dem AutoRun-Ordner selbst aus? Gruß Dominique Zitieren Link zu diesem Kommentar
Sunny61 806 Geschrieben 6. Juni 2011 Melden Teilen Geschrieben 6. Juni 2011 Ansonsten kannst du auch via Script bei jeder Anmeldung den Inhalt des run-unterschlüssles löschen. Das ist aber eher eine Alternativmethode. Und es kann leicht sein, dass der Löschvorgang zu spät kommt. Zitieren Link zu diesem Kommentar
Dominique01520 10 Geschrieben 6. Juni 2011 Melden Teilen Geschrieben 6. Juni 2011 Und es kann leicht sein, dass der Löschvorgang zu spät kommt. ... Es ist aber eher eine Alternativmethode Recht hast du, aber das ist hier denke ich nicht allzu relevant. Es soll sich ja nur um Anwendungen, wie Skype handeln, welche auch vor dem Löschvorgang gezielt (in dem "Gebastel" ;) ) beendet werden können, um das neu-Erstellen der Werte zu verhindern. Ich glaube, das Ganze geht in die Richtung der Kontraproduktivität... Es sollte ja kein großes Problem sein, ein paar Programme am Autostart zu hindern... ;) Ich bastel mal was zusammen und poste es morgen :) Gruß Dominique Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 7. Juni 2011 Autor Melden Teilen Geschrieben 7. Juni 2011 Vielen Dank für euere Hilfe. Ich möchte hier erwähnen, dass die Autostart Berichtigung im Default Profile ist für den Ersteller Vollzugriff und für jeder Lesen sind. Das heißt, wenn der User mit diesen alten Berichtigungen gearbeitet hat, dann hat er immer auf der Autostart Vollzugriff, obwohl die GPO anders ergibt. Es sieht so aus , dass die GPO nur für den neue Benutzer active wird und nicht für den alten User, die sich vorher einen Profile auf dem PC erstllet haben. Ich mußte die Autostart Berichtigungen bei Default User manuelle ändern und bei der Domainuser auch, sodass der Ersteller entfernet wurde und jeder hat nur Leserechte. Ich bin euch sehr dankbar für weitere Hilfe und idean. Gruß Nizo Zitieren Link zu diesem Kommentar
Dominique01520 10 Geschrieben 9. Juni 2011 Melden Teilen Geschrieben 9. Juni 2011 Hallo, leider etwas verspätet und ungetestet... Das Script löscht den Inhalt des Autorun-Ordners und beendet vorher, falss nötig bestimmte Anwendungen. Die Angaben über die Anwendungen und die AutoStart-Einträge, die der User braucht, musst du selber machen... Falls das Script auf einem englischen System ausgeführt werden soll, kannst du die Sprache anpassen. 'Löscht den Inhalt der AutoRun-Ordner, setzt Berechtigungen 'Beendet vorher, falls nötig definierbare Anwendungen 'Erstellt benötigte AutoRun-Einträge neu 'Muss leider mit Admin-Rights ausgeführt werden. 'Lässt sich (unsicher) ggf. über Runas-Brücke lösen. 'Diverse Angaben müssen gemacht werden... ' -> Sprache ' -> zu beendende Anwendungen ' -> neu zu erstellende Anwendungen mit Pfad und Namen '---------------------------------------------------------- 'Sprache definieren (de für Deutsch, en für englisch) Lang = "de" Set WshShell = CreateObject("Wscript.Shell") Set FSO = CreateObject("Scripting.FileSystemObject") Set WMI = GetObject("winmgmts:") Set System = WMI.InstancesOf("Win32_Process") Set Autorun = WshShell.SpecialFolders("Startup") Set AllUsersAutorun = WshShell.SpecialFolders("AllUsersStartup") ArrAUARF = FSO.GetFolder(AllUsersAutoRun).Files ArrARF = FSO.GetFolder(AutoRun).Files '-----Programme, die vorher beendet werden sollen----- Progkill(0) = "Explorer.exe" Progkill(1) = "Skype.exe" Progkill(2) = "WeiteresBeispiel.exe" Progkill(3) = "Pöter.exe" 'Und so weiter... '----------------------------------------------------- '-----Programme, die in den AutoRun gehören----- 'Beachten: Anführungszeichen (") müssen innerhalb der Strings doppelt angegeben werden 'Beispiel: "C:\windows\system32\explorer.exe ""C:\""" ' Siehe hier: ^^ ^^ Progname(0) = "BeispielRemoteDesktop" ProgPfad(0) = "C:\windows\system32\MSTSC.EXE" ProgWorkDir(0) = "C:\windows\system32" Progname(1) = "Beispiel Explorer C" ProgPfad(1) = "C:\windows\Explorer.exe C:\" ProgWorkDir(1) = "C:\windows" Progname(2) = ProgPfad(2) = ProgWorkDir(2) = ' Und so weiter... '------------------------------------------------- 'Beende Programme vor Ausführung... For g = 0 to ProgKill.Count For Each Process in System if LCase(process.name)=LCase(ProgKill(g)) then process.Terminate (0) end if next Next 'AllUsers Autorun Inhalt Löschen... For Each Eintrag in ArrAUARF Fso.DeleteFile(Eintrag) Next 'AutoRun Inhalt löschen... For Each Eintrag in ArrARF Fso.DeleteFile(Eintrag) Next 'Shortcuts, die benötigt werden ,neu erstellen... For i = 0 to ArrSCs.Count set AutoRunShortcut = WshShell.CreateShortcut(Chr(34) & AllusersAutoRun & "\" & ProgName(i) & ".lnk" & Chr(34)) AutoRunShortcut.TargetPath = Chr(34) & ProgPfad(i) & Chr(34) AutoRunShortcut.WorkingDirectory = Chr(34) & ProgWorkDir(i) & Chr(34) AutoRunShortcut.Save Next 'Berechtigungen setzen... 'Deutsch: If LCase(Lang) = "de" Then Leer = WshShell.Execute("Echo J | CACLS " & Chr(34) & AutoRun & " /P Jeder:R Administratoren:F SYSTEM:F") Leer = WshShell.Execute("Echo J | CACLS " & Chr(34) & AllUsersAutoRun & " /P Jeder:R Administratoren:F SYSTEM:F") 'Englisch: Else If LCase(Lang) = "en" Then Leer = WshShell.Execute("Echo Y | CACLS " & Chr(34) & AutoRun & " /P Everyone:R Administrators:F SYSTEM:F") Leer = WshShell.Execute("Echo Y | CACLS " & Chr(34) & AllUsersAutoRun & " /P Everyone:R Administrators:F SYSTEM:F") End If Gruß Dominique Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 15. Juni 2011 Autor Melden Teilen Geschrieben 15. Juni 2011 Vielen Dank für Deine Hilfe. Gruß Nizo Zitieren Link zu diesem Kommentar
Dominique01520 10 Geschrieben 15. Juni 2011 Melden Teilen Geschrieben 15. Juni 2011 Läufts denn, wie du es möchtest? Gruß Dominique Zitieren Link zu diesem Kommentar
nizo 10 Geschrieben 15. Juni 2011 Autor Melden Teilen Geschrieben 15. Juni 2011 Ich bin gerade vom Urlaub zurück. Ich werde es denn versuchen, es zu testen. Vielen Dank. Gruß Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.