Datenausführungsverhinderung via GPO konfigurieren?

[dippas 10]

Moin Board,

 

kann man die "Datenausführungsverhinderung" (zu erreichen über Arbeitsplatz-Eigenschaften, Lasche Erweitert/Einstellungen Systemleistung/Lasche Datenausführungsverhinderung) unter XP-Pro-SP2 via GPO (W2k3-Domain) konfigurieren und via dieser GPO Programme "freischalten"?

 

Habe keine Lust an jeden Rechner zu gehen und die Boardsuche nach "Datenausführungsverhinderung" war erfolglos.

 

grüße

 

dippas

[dippas 10]

Keiner eine Idee?

 

grüße

 

dippas

[dippas 10]

 

ein "geht nicht" oder "keine Ahnung" würde schon helfen ;)

 

grüße

 

dippas

[lefg 276]

Hallo Dippas,

 

ich gestehe es, ich gebe es zu, ich habe keine Ahnung. :D

 

Ich werfe mal einen XP an.

 

Gruß

 

Edgar

[IThome 10]

Habe auf die Schnelle nur sowas gefunden ...

http://support.microsoft.com/kb/875352/en-us

Ich schau noch mal ein bisschen

[lefg 276]

So etwas ähnliches gab es schon in den Systemrichtlinien von NT. Auch bei 2k gibt es entsprechendes, ob es aber dem bei XP entspricht?

 

Ich gucke auch mal.

[IThome 10]

Es scheint so, dass man dafür die boot.ini ändern muss ...

 

"DEP configuration for the system is controlled through switches in the Boot.ini file"

[dippas 10]

hmmm ....

 

Zunächst Danke für die Hilfe/Beteiligung/Unterstützung und den Link.

 

Leider wird hier ja eine Konfiguration am Rechner direkt beschrieben.

 

Wünschenswert ist eine Lösung, bei der ich via Gruppenrichtlinie eine entsprechende Einstellung auf die Rechner vom Server aus verteilen kann.

 

grüße

 

dippas

[lefg 276]

Ich bin mir nun nicht sicher, ob es das ist, was du möchtest.

 

Benutzerkonfiguration, Administrative Vorlagen, System.

 

Da gibt es etwas über nur zugelassene Windows-Anwendungen ausführen und einmal dem Gegenteil davon.

[IThome 10]

Laut den weiteren Artikeln, die ich gerade gelesen habe, wird DEP in der boot.ini abgeschaltet, in dem man /noexecute... gegen /execute austauscht. Auch bei den anderen Einstellungen ist immer die boot.ini beteiligt.

[dippas 10]

Es scheint so, dass man dafür die boot.ini ändern muss ...

 

 

bislang habe ich nur eine "Krücke" als Möglichkeit gefunden:

 

Gruppenrichtlinie:

Benutzerkonfiguration/Internet Explorer-Wartung/Sicherheit/Sicherheitszonen und Inhaltsfilter

-> Aktuelle Einstellungen für Sicherheitszonen und Datenschutz importieren, Button "Einstellungen ändern", Eintrag des Server-FQDN in den Sites der Zone "Lokales Intranet"

 

Wenn ich hier nun den Server reinpacke, werden alle Programme, die ich über den UNC-Pfad \\servername\Verzeichnis starte ohne dieses Abfrage gestartet.

 

Allerdings zieht das nicht bei gemappten Laufwerken :(

 

Und genau dafür suche ich die Lösung.

 

grüße

 

dippas

[IThome 10]

Ich glaube, Du hast noch gar nicht erzählt, welches Problem Du eigentlich beheben willst ;)

[Velius 10]

Mach doch ein Loginscript welches die Boot.ini überschreibt....(VORSICHT!!) :wink2: :D

[dippas 10]

@IThome

Na, ich will diese bloede Meldung abschalten, die erscheint, wenn ein User eine ausführbare Datei auf einem gemappten Laufwerke startet.

 

Da wir häufig solche Dateien starten, ist das ziemlich nervig für die User. Und für mich ist es nervig, ewig Anrufe zu bekommen, wo die User nachfragen, was dass den wieder für eine Meldung sei.

 

Eine Lösung, wo ich immer Applikationen etc. nachpflegen muss, ist auch keine Lösung, weil ich ja immer nachpflegen muss ... :rolleyes:

 

grüße

 

dippas

[Velius 10]

@Dippas

 

Das ist aber nicht DEP.