W2K12 R2 - Server-Manager

[Schreini 10]

Die User liegen in einer eigenen OU, diese ist dahingehend mit dieser GPO verknüpft.

[NorbertFe 2.100]

GPO / Benutzerkonfiguration -> Server-Manager deaktiviert

 

Sollte doch genau das unterbinden oder?

 

Wo genau soll die sein?

[Sunny61 811]

Benutzer > Admin Vorlagen > Windows Komponenten > Microsoft Management Console > Eingeschränkte/Zugelassene SnapIns.

[daabm 1.366]

Was genau heißt "aufrufbar"? Geht es nur um das Icon in der Taskbar? Dann mach es halt weg...

[Schreini 10]

Nein,es geht nicht um das Icon. Das konnte ich schon mittels einer Richtlinie entfernen.

[Reingucker 3]

Müsste das nicht per Applocker gehen? Also das ausführen der ServerManagerLauncher.exe per gpo verhindern?

[Schreini 10]

Tell me more? :)

[Reingucker 3]

Tell me more? :)

 

Würd ich machen wenn ich das mal installiert habe  :D  Bin ja noch relativ neu im AD. Ich kam nur auf diese Idee wegen        

• Specific software tools are not allowed within the organization, or only specific users have access to those tools.
• A single user or small group of users needs to use a specific application that is denied for all others. 

http://technet.microsoft.com/en-us/library/ee424357%28v=ws.10%29.aspx

[Reingucker 3]

Also es funktioniert mit Applocker. Allerdings frag ich jetzt auch wozu das gut sein soll. Wahrscheinlich habt ihr den trustedinstaller deaktiviert wegen dem Bug wo da mal war. Aber wenn man mit Applocker erst einmal anfängt, dann kann das schon ziemlich ausarten mit der Zeit. Und dann beginnt man auch irgendwann die Admins selbst über Applocker zu differenzieren. Da würde ich mir dann doch lieber entsprechende User machen und über Gruppen entsprechend hochstufen wie es gebraucht wird, anstatt da von oben runter zu beschränken. Es ist, glaube ich, eher eine Designfrage

[daabm 1.366]

TrustedInstaller deaktivieren? Admins einschränken? Von was redest Du?

[Reingucker 3]

Von Schreini sein Thema.

[daabm 1.366]

Aha  - "Schreini sein Thema" - manche posten dann gleich nen Link dazu...

[Reingucker 3]

Aha - "manche posten dann gleich nen Link dazu" - andere lesen den Thread...

 

Hmm, 799 Beiträge...jo, so gehts natürlich auch...

[daabm 1.366]

Ich würde es ganz einfach machen: http://gpsearch.azurewebsites.net/#4758, hier "servermanager.exe" eintragen und was sonst noch nicht ausgeführt werden soll.

 

Wenn es "sicher" sein soll, muss entweder AppLocker oder Software Restriction Policies genutzt werden.

[Reingucker 3]

"Don´t run specified Windows applications" ist ja das was er m Moment hat - soweit ich das nachvollziehen konnte. Und da kann eben weiterhin über die Konsole der Servermanager aufgerufen werden.

 

Was ich seltsam finde ist, dass "User", so wie er schreibt, überhaupt den Servermanager aufrufen können, denn der wird ja normalerweise durch den Trustedinstaller geschützt und man mus Admin sein um ihn aufrufen zu können.

 

Daher dann auch meine Vermutung dass der Trustedinstaller bei ihm deaktiviert ist. Wenn er aber aktiv ist und trotzdem "User" ausführen können, dann sind diese User in entsprechenden Gruppen. Und dann beginnt das von mir erwähnte "Admin beschränken" per Applocker.

 

Mir persönlich wäre das zuviel gefuddel weil dann noch dieses Programm und dann noch nur auf diesem Rechner und auf dem und dem nicht und auf dem aber dann doch aber nur der und der darf usw. usf.