tnetwork 10 Geschrieben 5. Juni 2005 Melden Teilen Geschrieben 5. Juni 2005 Moin, unsere User sollen zukünftig nur noch auf W2K3 Terminalservern mit vielen installieren Programmen arbeiten. Ich hab jetzt also folgende Anforderung: ich möchte je Anwendung eine Sicherheitsgruppe haben. Die Mitglieder dieser Gruppe dürfen die zugehörige Anwendung nutzen, alle anderen nicht. Die Umsetzung: Variante1: Erst per Gruppenrichtlinie Softwareeinschränkung als Standard Nicht erlaubt auswählen. Untergeordnet je Anwendung eine GPO für jede "Anwendungsgruppe" (s.o.) eine Richtline mit der Ausnahme für das jeweilige Programm einrichten. Problem: Ich habe die Vermutung, dass z.b. die GPO für Programm1 die GPO für Programm2 überschreibt. Also ein User ist in den Gruppen Programm 1 und Programm2, kann Programm2 aber nicht öffnen, weil die andere GPO für Programm1 Programm2 nict kennt. Variante2: Auf den jeweilien Programmverzeichnissen lege ich für die Anwendungsgruppen per NTFS-Berechtigungen an. Das wird mit sicherheit funktionieren, allerdings muss ich dieses dann auf allen Terminalservern separat anlegen. Hat jemand von euchh sonmal ein ähnliches Szenario gehabt? Wo gibt es eine gute Anleitung? Zitieren Link zu diesem Kommentar
dmetzger 10 Geschrieben 5. Juni 2005 Melden Teilen Geschrieben 5. Juni 2005 Grundsätzlich zum Verständnis von GPOs: Die zuletzt angewandte GPO überschreibt bei Konflikten mit zuvor übernommenen GPOs deren Einstellungen. Auswirkung bei Softwareeinschränkung nach dem Muster "Was nicht erlaubt ist, ist verboten": In der zuletzt übernommenen GPO nicht explizit erlaubte Programme können nicht ausgeführt werden. In Deinem Fall müsstest Du die GPOs und OUs so gestalten, dass die zuerst angewendete GPO die restriktivste ist, während die nachfolgenden GPOs mehr Anwendungen erlauben: - GPO 1 erlaubt Programm 1 - GPO 2 erlaubt Programm 1 UND 2 Bei der Verarbeitung muss GPO 1 selbstverständlich vor GPO2 zur Anwendung kommen, sonst gilt wieder nur GPO 1 mit dem Programm 1. Ebenfalls grundsätzlich: Versuche mit möglichst wenigen Programmprofilen auszukommen. Zitieren Link zu diesem Kommentar
tnetwork 10 Geschrieben 5. Juni 2005 Autor Melden Teilen Geschrieben 5. Juni 2005 Was mit zwei oder drei Anwendungen ja noch machbar ist, was mach ich denn bei 10-15 unterschiedlichen Programmen? Kann man sowas nicht additiv umsetzen? Sonst werde ich es wohl oder übel mit NTFS-Berechtigungen lösen müssen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.