Discussion:
Terminalserver Installation Software verhindern
(zu alt für eine Antwort)
niepelt
2007-03-14 10:31:08 UTC
Permalink
Hallo auch,
wie kann ich verhindern, das User auf dem Terminalserver Software
installieren (GPO!!)

gruß
Alexander Niepelt
Helmut Schneider
2007-03-14 10:39:11 UTC
Permalink
Post by niepelt
wie kann ich verhindern, das User auf dem Terminalserver Software
installieren (GPO!!)
Indem der User nicht zum (lokalen) Admin gemacht wird. Oder wie war die
Frage?

Gruß, Helmut
--
Please do not feed my mailbox, Swen still does his job well
niepelt
2007-03-14 10:49:11 UTC
Permalink
Dachte ich auch erst, aber die User sind nicht in der Gruppe der lokalen
Admins, nur in der gruppe Remote-Desktop-Benutzer.

Gruß
Alex
Post by Helmut Schneider
Post by niepelt
wie kann ich verhindern, das User auf dem Terminalserver Software
installieren (GPO!!)
Indem der User nicht zum (lokalen) Admin gemacht wird. Oder wie war die
Frage?
Gruß, Helmut
--
Please do not feed my mailbox, Swen still does his job well
Nils Kaczenski [MVP]
2007-03-14 11:00:17 UTC
Permalink
Moin,
Post by niepelt
Dachte ich auch erst, aber die User sind nicht in der Gruppe der lokalen
Admins, nur in der gruppe Remote-Desktop-Benutzer.
aha. Und was installieren sie dann so?

http://www.faq-o-matic.net/content/view/81/44/


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
niepelt
2007-03-14 11:11:08 UTC
Permalink
ZB. hat ein User die Testversion von Adobe Acrobat 8.0 installiert,
finde ich halt nicht lustig.

Gruß Alex
Post by Nils Kaczenski [MVP]
Moin,
Post by niepelt
Dachte ich auch erst, aber die User sind nicht in der Gruppe der lokalen
Admins, nur in der gruppe Remote-Desktop-Benutzer.
aha. Und was installieren sie dann so?
http://www.faq-o-matic.net/content/view/81/44/
Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Helmut Schneider
2007-03-14 11:40:04 UTC
Permalink
Post by niepelt
ZB. hat ein User die Testversion von Adobe Acrobat 8.0 installiert,
finde ich halt nicht lustig.
Grad getestet (registriert und 300MB herunter geladen), geht nur als Admin.
--
Please do not feed my mailbox, Swen still does his job well
niepelt
2007-03-14 12:05:08 UTC
Permalink
Kann ich so leider nicht bestätigen. Ich habe soeben als User goggleearth
installiert und der User ist in keinerlei Admingruppe drin.

Gruß Alex
Post by Helmut Schneider
Post by niepelt
ZB. hat ein User die Testversion von Adobe Acrobat 8.0 installiert,
finde ich halt nicht lustig.
Grad getestet (registriert und 300MB herunter geladen), geht nur als Admin.
--
Please do not feed my mailbox, Swen still does his job well
Klaus Urban
2007-03-14 12:53:09 UTC
Permalink
Hallo niepelt,
Post by niepelt
Kann ich so leider nicht bestätigen. Ich habe soeben als User goggleearth
installiert und der User ist in keinerlei Admingruppe drin.
das kann ich auch bestätigen. Goggle Earth wird dann in
\Dokumente und Einstellungen\Benutzer\Anmendungsdaten\Google
installiert. Beim Abschluss der Installation kommt zwar die
Fehlermeldung: "com registration faild (user may not have administrator
permission)", aber Google Earth wird erst mal installiert.
Danach gibt es aber Probleme mit directX und OpenGL.

Klaus
Nils Kaczenski [MVP]
2007-03-14 13:02:59 UTC
Permalink
Moin,
Post by niepelt
Kann ich so leider nicht bestätigen. Ich habe soeben als User goggleearth
installiert und der User ist in keinerlei Admingruppe drin.
letzteres solltest du noch mal prüfen.

http://www.faq-o-matic.net/content/view/141/44/
http://www.faq-o-matic.net/content/view/294/44/


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Helmut Schneider
2007-03-14 14:40:54 UTC
Permalink
Post by niepelt
Post by Helmut Schneider
Post by niepelt
ZB. hat ein User die Testversion von Adobe Acrobat 8.0 installiert,
finde ich halt nicht lustig.
Grad getestet (registriert und 300MB herunter geladen), geht nur als Admin.
Kann ich so leider nicht bestätigen. Ich habe soeben als User goggleearth
installiert und der User ist in keinerlei Admingruppe drin.
Wie was wo kannst Du nicht bestätigen? Du sprichst von AA, ich teste das,
dann sprichst Du plötzlich von GE, spielen wir das heute den ganzen Tag?!

Für AA brauchst Du Admin-Rechte, sonst weigert sich das Setup. Aus. Punkt.
Ende. Wie sich GE seine weite Verbreitung erschleicht, ist ein anderes
Thema, der Grund wurde aber hier bereits genannt.
--
Please do not feed my mailbox, Swen still does his job well
Jaksa Skelin
2007-03-14 13:39:46 UTC
Permalink
Hallo Alex,
Post by niepelt
ZB. hat ein User die Testversion von Adobe Acrobat 8.0 installiert,
finde ich halt nicht lustig.
Das kann ich ao nicht bestätigen, bei den Acrobat Reader brauche ich Admin
Rechte.
Was aber stimmt: Ein User kann Programme installieren, sofern dieses nicht
in geschützte Verzeichnisse (z:B. Programme) oder Registry (Ausnhame HKCU)
schreiben. Es geht noch weiter: Ich kann auf meinem privaten PC zuhause eine
Anwendung installieren die installierten Dateien auf DVD brennen und auf dn
Bürorechner kopieren. So lange die Anwendung nicht in die Reg schreiben
sondern sich nur mit dem User Verzeichnis begnügt, läuft die ohne Probleme
auch mit eingeschränkten Rechten.
Getestet mit World of Warcraft und Dark Age of Camelot ;)

Gruß
Jaksa
Nils Kaczenski [MVP]
2007-03-14 14:51:13 UTC
Permalink
Moin,
Post by Jaksa Skelin
Was aber stimmt: Ein User kann Programme installieren, sofern dieses nicht
in geschützte Verzeichnisse (z:B. Programme) oder Registry (Ausnhame HKCU)
schreiben. Es geht noch weiter: Ich kann [...]
naja, mal ernsthaft: In dem Fall führt das Betriebssystem ja auch nichts
Weiteres aus als irgendwelche Applikationen, die nicht verbotene
Kopieraktionen vornehmen. Wie soll Windows da erkennen, dass es sich um
eine Installation handelt? Oder weitergehend: Was ist überhaupt eine
Installation?

Solchen Dingen kann man nur vorbeugen, wenn man die Binaries
kontrolliert, die ein User ausführen darf. Dazu steht etwas in meinem
bereits zitierten Artikel.


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Jaksa Skelin
2007-03-14 16:30:08 UTC
Permalink
Hallo Nils,
Post by Nils Kaczenski [MVP]
naja, mal ernsthaft: In dem Fall führt das Betriebssystem ja auch nichts
Weiteres aus als irgendwelche Applikationen, die nicht verbotene
Kopieraktionen vornehmen. Wie soll Windows da erkennen, dass es sich um
eine Installation handelt?
Da stimme ich Dir voll und ganz zu.
Ich wollte nur klar stellen (auch wenn mir das wohl nicht gelungen ist),
dass die Frage "Darf ein User eine Applikation installieren?" nicht davon
abhängt ob der User administrative Rechte hat, sondern es hängt davon ab was
der Installer alles machen möchte.
Einge Files kopieren und eine Verknüpfung unter
%userprofile%\Startmenü\Programme anzulegen sollte auch ohne Adminrechte
gehen.

Gruß
Jaksa
Nils Kaczenski [MVP]
2007-03-15 09:54:06 UTC
Permalink
Moin,
Post by Jaksa Skelin
Ich wollte nur klar stellen (auch wenn mir das wohl nicht gelungen ist)
jetzt schon. ;-)


Schöne Grüße, Nils
--
Nils Kaczenski - MVP Windows Server
www.faq-o-matic.net
Antworten bitte nur in die Newsgroup!
PM: Vorname at Nachname .de
Mark Heitbrink [MVP]
2007-03-15 06:48:18 UTC
Permalink
Hi,
Post by niepelt
wie kann ich verhindern, das User auf dem Terminalserver Software
installieren (GPO!!)
Software Restriction Policy und die Änderung des Default Verhaltens
von "Nichts verboten" auf "Alles verboten, bis auf".
Das ist zwar extrem anstrengend die Whitelist zu pflegen aber es
ist die einzige sinnvolle Alternative, da der User ansonsten immer
eine Stelle findet, wo er Schreibrechte hat und diverse Software
benötigt nur eine EXE.
http://www.gruppenrichtlinien.de/HowTo/Software_Installation_als_Benutzer.htm

Tschö
Mark
--
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Blog: gpupdate.spaces.live.com - english
Loading...