2003 AD GPO user local admin maar toch install restricten

Pagina: 1
Acties:

  • RoRoo
  • Registratie: Mei 2001
  • Laatst online: 27-12-2025

RoRoo

Certified Prutser

Topicstarter
Heyz,

Ik loopt nu zo'n beetje te zoeken hier en op internet maar kan niet echt iets relatiefs simpels vinden om te bereiken wat ik nu wil

Zit hier met een hotel.
Alle pc's connecten via RDP naar een terminal server
Alles is met GPO's dichtgezet zodat men niet naar control panel en/of local drives kunnen.

Alleen is nu het grootste probleem het volgende:
Er draait hier een applicatie die VEREIST dat een user local administrator rechten heeft. Hier ben ik natuurlijk niet blij mee aangezien de mensen achter de receptie MSN Messenger en andere ellende gaan installeren.

Heb ondertussen Quicktime / I-tunes, MSN Messenger, Winamp (vraag me niet waarom.. sound is disabled) en diverse P2P programma's gedeinstalleerd. Probleem is dat ik niet de schuldigen kan straffen omdat men hier met een verloop zit van heb ik jou daar.

ik heb wat in de GPO's zitten snuffelen en ik zie wel de software restriction policies staan, maar echt duidelijk vind ik die niet.

Moet ik daar nu path rules opgeven en die wijzen naar de applicatie directories die elke applicatie nodig heeft en die allowen? Aangezien diverse microsoft applicaties overal en nergens kijken naar een DLL oid lijkt mij dat onbegonnen werk (of heb ik dat fout)

Ik gaat ondertussen ook nog wel verder googlen, maar mocht iemand kort en bondig uit kunnen leggen of ik op de goeie weg zit (of stuur me de goeie kant op :P) dan graaag..
tenks

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku


  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 31-01 11:11
Heb je al met regmon en filemon gekeken waar die app rechten nodig heeft ?
Want dan zou je daar misschien iets mee kunnen bereiken.

En anders het probleem voorleggen bij de leverancier van de app.


Alternatieve aanpak is om een legal notice te gebruiken zodat de gebruikers bij inloggen een melding te zien krijgen waarmee ze door in te loggen instemmen met het feit dat ze niets op de machine mogen installeren (gebruiksvoorwaarden). Dan kan je ze toch een tik op de vingers geven.

Geniet niet de voorkeur, maar kan een suggestie zijn.

Abort, Retry, Quake ???


  • SKiLLa
  • Registratie: Februari 2002
  • Niet online

SKiLLa

Byte or nibble a bit ?

Kun je niet beter uitzoeken waarom die applicatie local admin rechten nodig heeft ? B.v. regkeys lezen/schrijven in de HKLM en dan de rechten voor gelimiteerde accounts uitbreiden zodat de app ook zonder admin-rechten draait ? En dan iedereen admin-af maken ...

'Political Correctness is fascism pretending to be good manners.' - George Carlin


  • RoRoo
  • Registratie: Mei 2001
  • Laatst online: 27-12-2025

RoRoo

Certified Prutser

Topicstarter
SKiLLa schreef op donderdag 03 mei 2007 @ 13:28:
Kun je niet beter uitzoeken waarom die applicatie local admin rechten nodig heeft ? B.v. regkeys lezen/schrijven in de HKLM en dan de rechten voor gelimiteerde accounts uitbreiden zodat de app ook zonder admin-rechten draait ? En dan iedereen admin-af maken ...
Als ik de fabrikant zover kon krijgen om dat ook daadwerkelijk aan te passen zou ik dat zeker doen, helaas willen ze niet meewerken.

Ik zal effe naar die filemon gaan kijken.. tenks

It's not DNS. There's no way it's DNS. It was DNS. --The Sysadmin haiku


  • aZuL2001
  • Registratie: September 2002
  • Laatst online: 31-01 11:11
Dan zou het bijna tijd zijn om de Applicatie de deur uit te doen imho.

Roepen dat een app adminrechten nodig heeft is meestal de easy way out.
Dan zouden ze zeker niet hoeven te weten waar exact rechten op nodig zijn.


Ik zou ze een mooi briefje sturen waarin je ze aansprakelijk stelt voor alle mogelijke gevolgen, directe en gevolgschade, van hun ter zake kundige advies om de gebruikers als local admin te laten werken.

Eens kijken of ze dan nog steeds niet mee willen werken. })

Abort, Retry, Quake ???


Verwijderd

Misschien kun je een apparte app account met de juiste rechten aanmaken, en dan laat je de gebruikers via een batch bestand (of ander script) met een 'run as' functie de app als de app acount opstarten?

maar dan is de vraag hoe je de wachtwoord verborgen kan houden. misschien encrypten of iets dergelijks?

just mijn 2 centjes.

  • alt-92
  • Registratie: Maart 2000
  • Niet online

alt-92

ye olde farte

Dat blijft een ranzige workaround die niet in een professioneel netwerk thuishoort.
Als iemand dat hier zou doen @ work kan ie gelijk z'n spullen pakken >:)

Ik zou ook eens kijken naar LUA bug troubleshooting :)
http://blogs.msdn.com/aar...ve/2006/02/16/533077.aspx

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device


Verwijderd

Afhankelijk van wat er naast die applicatie allemaal draait, kun je eventueel handmatig een ApplicatieGroup group maken, die je handmatig alle rechten geeft van de Administrators group. Dan testen of de app draaien wil. Ja? Mooi! Snoeien in de rechten tot je precies de rechten hebt die je hebben moet en weinig tot niets meer. En beginnen by Deny op Create in de Program Files directory en C root. Dat installeert al een heel stuk lastiger. Eventueel kun je in de app directory dat recht dan weer wel toekennen. Verder wordt het register wel een itempje, als daar duizenden keys in gebruik zijn door je app, maar als het er maar een paar zijn kun je ook daar met de hand een heel eind komen. En ook hier weer, glashard alles op Deny zetten en dan vrijgeven wat je nodig hebt.

Het is absoluut niet heel weinig werk maar de modale software boer zal altijd zeggen "ja maar dan moet u gewoon de security op uw server een beetje normaal inrichten" of "dat zit in de volgende release".

Verder is er nog de optie om console in console te gebruiken: een console openen op de Citrix kist waar je geen balm ag, en een aparte naar een App server waar je wel alles mag. Maar de app server geef je alleen communicatierecht met je "normale" Citrix kist en eventueel een achterliggende database bak, en geen internet. Dit moet je applicatie wel kunnen verdragen. En je budget, uiteraard.

  • mutsje
  • Registratie: September 2000
  • Laatst online: 12-02 15:49

mutsje

Certified Prutser

ga eerst maar eens met processmonitoring (zitten filemon en regmon in) kijken wat er allemaal door het pakket geopend wil worden als je het als normale gebruiker opstart. Verder inderdaad Create rechten verwijderen maar wees op de C root wel voorzichtig als je rechten gaat resetten :) je kan jezelf een hoop ellende op de hals halen als je het te dicht zet :+ Verder Software Restriction Policies willen zeggen dat je met een hashcode executables kan signen en dat alleen die executable opgestart mag worden (renamen heeft geen zin meer dan) zelfde geld voor vbs scripts etc. Je kan dan *.vbs dicht gooien en alleen jou scripts toelaten. Dit gaat wel tenkoste van inlogtijden trouwens die worden dan langer namate je lijst met allowed / denied executables groter wordt.

  • ZeRoC00L
  • Registratie: Juli 2000
  • Niet online
Ben wel benieuwd naar de applicatie, heb bij een bedrijf gezeten waar zo'n 400 programmas werden uitgerold dmv GPO, maar geeneen had er admin rechten nodig.

[*] Error 45: Please replace user
Volg je bankbiljetten


  • Koffie
  • Registratie: Augustus 2000
  • Laatst online: 17:21

Koffie

Koffiebierbrouwer

Braaimeneer

Move PNS > WSS

Tijd voor een nieuwe sig..

Pagina: 1