Jump to content

IE für bestimmte User über Richtlinien sperren?

Muelli

Von Muelli
in Windows Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Muelli Experienced

Muelli   10

Geschrieben
Geschrieben

Moin, moin,

 

helft mir doch bitte mal auf die Sprünge. Wie kann ich in einer W2K Umgebung mit Hilfe des Domänencontrollers und Gruppenrichtlinien für bestimmte User das Starten bestimmter Programme unterbinden.

Konkret will ich verhindern, dass z.B. die OU Lehrlinge den Internet Explorer starten können um damit wild umherzusurfen. Habe dazu diese OU bereits angelegt und eine Gruppenrichtlinie erstellt. Darin finde ich aber nun nirgendwo einen konkreten Punkt, der das Starten des IE verhindert.

Sicherlich könnte ich die IE Verknüpfung vom Desktop und aus dem Startmenü entfernen und dann das Ändern des Desktops unterbinden, aber es muss doch auch eleganter gehen.

 

Gruß Mülli

Link zu diesem Kommentar
Muelli Experienced

Muelli   10

Geschrieben
  • Autor
Geschrieben

Moin Nichtsnutz,

 

Dank für Deinen Tipp, aber damit verhindere ich nicht das Starten des IE für ausgewählte User, sondern kann nur bestimmte Internetoptionen steuern oder unterbinden. Desweiteren müsste ich TweakUI auf allen Rechnern installieren. Ich möchte aber mit Hilfe von Gruppen-/Sicherheitsrichtlinien auf dem DC meine User kontrollieren, egal an welcher Station sie sich anmelden.

 

 

Gruß Mülli

Link zu diesem Kommentar
marka Grand Master

marka   584

Geschrieben
Geschrieben

Genau! Entzeiehe den Usern das Recht, die Datei auszuführen. Sollte allerdings jemand auf die Idee kommen, mit einem Fremdanbieterbrowser zu surfen, wird das Ganze etwas diffiziler...

 

Evtl. mal auf dem Proxy die IP's der Rechner verweigern oder extra Benutzerauthentifizierung beim Verbinden mit dem Internet anlegen. Dann kommen nur Leute in's Web, denen Du einen Account angelegt hast...

Link zu diesem Kommentar
M8121513 Enthusiast

M8121513   10

Geschrieben
Geschrieben

Aber das Problem das die Benutzer mit einem Fremdbrowser Surfen sollte ja nicht auftreten weil die mit Sicherheit keine Adminrechte auf den Kisten bekommen werden denke ich mal. Also können sie sich keinen anderen Browser installieren. :-)

Ich denke nicht das die Praktikanten clever genug sind sich von ihrem Rechner zu Hause oder sonst wo ihre iexplorer Exe zu kopieren und auf diesen Rechner zu kopieren, oder ? :-)

 

Ich hab grad rausgefunden, das man mit dem gleichen Trick sogar ganze Verzeichnisse sperren kann. Also wäre es sinnvoll das ganze IE Verzeichniss zu sperren, bzw. sogar das ganze %systemroot%/programme so einzustellen das die Benutzer nur lesen dürfen :-) dann können sie auch keinen Browser installieren :-)

 

Gruß.....cu

Link zu diesem Kommentar
Muelli Experienced

Muelli   10

Geschrieben
  • Autor
Geschrieben

Irgendwie stelle ich mich wohl zu dusselig an.

Wenn ich in der OU in der sich die zu beschränkenden User befinden und für die ich die ieexplore.exe sperren will, eine Gruppenrichtlinie erstelle und dort unter Computerkonfiguration -> Windows Einstellungen -> Sicherheitseinstellungen -> Dateisystem die entsprechende *.exe suchen will, die zu sperren ist, bekomme ich aber nur die Verzeichnisstruktur des DC angezeigt.

Zeigt mir den Weg bitte noch mal ***ensicher. Am Ende sollte es aber egal sein, an welcher Arbeitsstation sich der User anmeldet. Solage er sich in der beschränkten OU Gruppe befindet, dürfte die ieexplore.exe nicht startfähig sein.

 

Gruß und Dank an alle.

 

Mülli

Link zu diesem Kommentar
M8121513 Enthusiast

M8121513   10

Geschrieben
Geschrieben

Hi,

 

das kann daran liegen das du evtl. auf dem DC den IE nicht installiert hast?

Ich hab das ganze von einem Client aus eingestellt. Hast du auf deinem Client das Adminpak.msi für Win2k installiert dann kannst du von dem Client aus das AD aufrufen und von dort aus die GroupPolicy bearbeiten.

Und wenn du auf dem Client den IE installiert hast, dann wirst du dort auch die IEExplorer.exe finden. :-)

 

Falls es noch Probleme gibt, dann meld dich einfach.

Würde mich auch interessieren ob es einwandfrei funktioniert, weil ich es nicht komplett testen konnte :-) Ich konnte das leider nicht in unserer Policy aktivieren weil sonst die ganze Firma hier antanzen würde :-)

 

Gruß...cu

Link zu diesem Kommentar
Muelli Experienced

Muelli   10

Geschrieben
  • Autor
Geschrieben

Moin, moin,

 

also die Verknüpfung der GPO mit der Compi-OU möchte ich eigentlich nicht machen, da meine Beschränkungen ja nicht den Rechner an sich betreffen sollen. Bedeutet, dass ich nur User beschränken möchte. Wenn also ein normaler Domänenuser sich am Lehrlingsrechner einloggt, soll er den IE nutzen können. Wenn der Lehrling aber rangeht, kommt er nicht ins I-net.

 

Deshalb fand ich den Weg von MARKA mit der Entziehung von Ausführungsrechten für bestimmte Dateien schon nicht schlecht. Das Problem mit Fremdanbieterbrowsern stellt sich bei uns nicht. Der Lehrling soll einfach seine Zeit nicht mit sinnlosem Surfen vergeuden.

Also wie kann ich nun für eine OU in der z.B. die User "Lehrlinge" sind, das Ausführen von ieexplore.exe unterbinden?

Weiter zu erwähnen wäre noch, dass Softwareinstallationen nicht über Gruppenrichtlinien vom DC erfolgen, sondern jeder Rechner für sich fertig gemacht wird und dann an die Domäne kommt. Insofern habe ich innerhalb des DC auch keinen Übersicht über installierte Software.

 

... und jetzt seid Ihr wieder gefragt.

 

Grüße von der Ostsee

 

Mülli

Link zu diesem Kommentar
M8121513 Enthusiast

M8121513   10

Geschrieben
Geschrieben

HI,

 

also du gehst ganz einfach auf deinen DC und dort in die Gruppenrichtlinie.

Dann gehst du wieder in das Dateisystem und fügst dort eine Datei hinzu.

Du kannst auch den direkten Pfad eingeben. Der DC übernimmt dann die Datei, auch wenn er sie selbst nicht in dem entsprechenden Pfad hat. Also einfach oben in das Eingabefeld eingeben. %systemroot%\Internet Explorer\ieexplore.exe

z.B. "C:\Programme\Internet Explorer\ieexplore.exe"

 

Dann kannst du die Benutzerrechte einstellen und hast genau den effekt den du gerne hättest, nämlich das nur die User diese Datei starten dürfen die du eingestellt hast. Somit ist es unabhängig von der Client Policy (wobei die sowieso alle paar Minuten von der GPO überschrieben wird) und diese Einstellung wandert mit dem User mit, ist also unabhängig an welchem Rechner er sich einloggt.

 

Ich hoffe jetzt sind alle Klarheiten beseitigt :-)

 

Gruß :D

Link zu diesem Kommentar
Muelli Experienced

Muelli   10

Geschrieben
  • Autor
Geschrieben

... so, alles ausprobiert und geklappt hat nichts :confused:

Die zu beschränkenden User in einer OU zusammengefasst - für diese OU eine Gruppenrichtlinie erstellt - darin unter Computerkonfiguration > Windows Einstellungen > Sicherheitseinstellungen > Dateisystem einmal den Pfad c:\programme\internet explorer\iexplore.exe eingetragen und bei den Sicherheitseinstellungen das Ausführen und Lesen der Datei untersagt.

Das Ergebnis war gleich NULL. Die User konnten weiterhin den Internet Explorer von Ihren Arbeitssattionen starten. Habe dann mal einen direkten UNC Pfad zu einer bestimmten Arbeitsstation an der selben Stelle angegeben - auch ohne Erfolg.

 

Gruß Mülli

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...