Installatie Rechten AD gebruikers - Netwerken

vrijdag 6 oktober 2006 12:55

Acties:

Topicstarter

Ik heb hier een werkende DC met AD gebruikers.
Deze gebruikers kunnen software installaren terwijl dit helemaal niet de bedoeling is.
Waar kan ik dit wijzigen

Ik heel de GPO al doorgelopen

maar ik kan gewoon niets vinden.

(voelt zich zo ontzettend dom)

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

vrijdag 6 oktober 2006 13:12

Acties:

Verwijderd

een paar simpele vraagjes:

- waar kunnen ze software installeren? (op hun eigen pc, op de server)
- wat voor software?
- geldt het voor alle gebruikers of maar voor een paar?

vrijdag 6 oktober 2006 13:16

Acties:

Vincenz0

Coder

zet bij hun policy settings onder computer configuration ==> windows settings ==> security settings ==> System Services ==> bij service 'Windows Installer' op define policy stel in op disabled en bij security geef je alleen administrator oid rechten. de rest deny.

Coding 4 Fun!

vrijdag 6 oktober 2006 13:17

Acties:

Vincenz0

Coder

is dit niet een google vraag?

question: group policy installer deny

edit: per ongeluk op quote gedrukt ipv edit. sorry modjes

[ Voor 30% gewijzigd door Vincenz0 op 06-10-2006 13:17 ]

Coding 4 Fun!

vrijdag 6 oktober 2006 14:08

Acties:

battler

Topicstarter

Het licht duidelijk moeilijker dan ik dacht.

Leerlingen kunnen zoiezo alleen programma's installeren op hun locale pc.
Dit zijn dus programma's die geen extra administrator rechten nodig hebben (volgens het bedrijf wat dit installeert, en beheerd).
Vrij vreemd vindt ik dit:S

Volgens hun zijn er 2 oplossingen.

Alle .exe blokeren en die windows nodig heeft toelaten.
De .exe die niet mogen gestart worden blokeren.

Ik heb het hier voornamelijk over programma's als

Poker, Msn, apps. die leerlingen installeren en niets te maken hebben met hun school.

Lux.Architectuur | Van Dromen tot Wonen | www.Lux-a.nl

vrijdag 6 oktober 2006 14:12

Acties:

Vincenz0

Coder

disable zoals ik al aangaf de windows installer service via group policy, ga dan in de group policy naar:
User configuration ==> Administrative Templates ==> Windows Components ==> Windows Explorer ==> dubbel klik op ' Prevent Access to drives from my computer'
klik op enabled en laat hem op restrict all drives, klaar.

doe nu ook in de cmd : gpedit /force om de group policy van kracht te laten gaan, laat nu de clients opnieuw inloggen.

let op dat dit niet van kracht is op de administrator('s)!!!!!!

[ Voor 23% gewijzigd door Vincenz0 op 06-10-2006 14:14 ]

Coding 4 Fun!

vrijdag 6 oktober 2006 15:16

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Vincenz0 schreef op vrijdag 06 oktober 2006 @ 14:12:
disable zoals ik al aangaf de windows installer service via group policy, ga dan in de group policy naar:
User configuration ==> Administrative Templates ==> Windows Components ==> Windows Explorer ==> dubbel klik op ' Prevent Access to drives from my computer'
klik op enabled en laat hem op restrict all drives, klaar.

Het hangt een beetje van de eisen en wensen van de TS af, maar het disablen van de Windows Installer service blokkeert alleen het installeren van MSI packages, alle installfiles die uit bv. een exe bestaan worden dan nog gewoon geinstalleerd. En dan bedoel ik niet de exe's, waar stiekem toch een MSI in zit....

Door het blokken van lokale drives vang je ook veel af, maar verbiedt users nog niet om software te installeren op hun home-drive (waar ze uiteraard schrijfrechten hebben). Ook kan nog steeds software gedraaid worden die geen installatie vereist (zoals diverse portable MSN-varianten).

Wil de TS het echt goed voor elkaar hebben dan zal deze met Software restriction policy's moeten gaan werken, wat eenmalig veel werk is om in te richten maar daarna vrij simpel.

Using Software Restriction Policies to Protect Against Unauthorized Software

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Pagina: 1

Reageer