[WIN2K3 R2] Software Restrictions met Run As

Pagina: 1
Acties:

  • DJ-B
  • Registratie: September 2001
  • Laatst online: 13:47
Ik ben bezig met het testen van Software Restrictions op een OU met daarin gebruikers.
Ik heb er voor gezorgd dat het op een XP client niet mogelijk is om de Calculator op te starten. Dit werkt prima, echter wil ik wel de mogelijkheid hebben om via "Run As" als bijvoorbeeld Administrator het programma wel uit te voeren.
Dit is precies het probleem, ook als ik het programma als Administrator uitvoer via "Run As" krijg ik de melding dat het niet mag.

De GPO maakt wijzigingen in de Gebruikers configuratie en ik heb aangegeven in de GPMC dat ik de Software Restricties op Alle gebruikers behalve de lokale Administrators wil toepassen.

Toch kan ik het met "Run As" niet aan de praat krijgen.

Mijn achterliggende gedachte is dat ik uiteindelijk wil voorkomen dat gebruikers software gaan installeren. Dit mag alleen als een admin dit uitvoert via "Run As".

Wie kan mij een zetje in de juiste richting geven? :)

  • mutsje
  • Registratie: September 2000
  • Laatst online: 12-02 15:49

mutsje

Certified Prutser

administrators geen read & apply policy rechten geven dan wordt de policy voor deze groep users niet uitgevoerd mits!! je er geen machine policy van gemaakt hebt. Houd er wel rekening mee dat Software Restriction Policies inlog tijden aanzienlijk kunnen verhogen, dit komt omdat elke executable vergeleken wordt of deze in de lijst met niet toegestane applicaties/executables voorkomt.

  • DJ-B
  • Registratie: September 2001
  • Laatst online: 13:47
mutsje schreef op donderdag 08 februari 2007 @ 08:50:
administrators geen read & apply policy rechten geven dan wordt de policy voor deze groep users niet uitgevoerd mits!! je er geen machine policy van gemaakt hebt. Houd er wel rekening mee dat Software Restriction Policies inlog tijden aanzienlijk kunnen verhogen, dit komt omdat elke executable vergeleken wordt of deze in de lijst met niet toegestane applicaties/executables voorkomt.
Ik maak gebruik van Group Policy Management en ik heb bij Security Filtering alleen 1 gebruiker opgegeven. Toch blijft het onmogelijk om via Run As als Domein Administrator bijvoorbeeld Calc.exe te draaien... Het betreft een User Policy

Erg vreemd :-)

Je schrijft dat hierdoor de inlogtijden aanzienlijk worden verhoogd. Zijn er eventuele nog andere mogelijkheden om het installeren van .exe en .msi door de gebruikers zelf te verbieden?

  • mutsje
  • Registratie: September 2000
  • Laatst online: 12-02 15:49

mutsje

Certified Prutser

je hebt een policy die het installeren verbied ja. Maar veel programma's kunnen dan alsnog installeren erg frusterend helaas.

Met inlogtijden hoger bedoel ik als je software restriction policy maakt met heel veel objecten erin. Als je alleen *.exe erin zet moet je trouwens ook oppassen dat je windows nog werkt :)

  • DJ-B
  • Registratie: September 2001
  • Laatst online: 13:47
Toch lijkt dat best mee te vallen.
Natuurlijk moet ik mappen zoals Windows en Program Files wel vrijgeven maar als de gebruiker daar geen schrijfrechten heeft lijkt het vrijwel onmogelijk te zijn om .exe en .msi uit te voeren.

Als laatste vind ik het wel vreemd dat Run As in dit geval zijn werk niet goed doet. Ik zal toch niet de enige in deze situatie zijn? :). Ook via google kom ik weinig tegen...

Hoe voorkomt iedereen dat er allerlei software geinstalleerd word op de PC?