Software installatierechten via GPO

Simpel, mensen geen local admin laten zijn?

Die dingen worden meestal in het profile geïnstalleerd. Kun je weinig aan doen denk ik zo. Behalve het profile niet opslaan bij het uitloggen van de gebruiker

Dan zou je in een GPO kunnen aangeven dat in IE geen third party addons mogen draaien. Dan ben je klaar. Moet je alleen wel IE gebruiken, of dat ook in een "echte" browser gaat werken weet ik niet.

[ Voor 0% gewijzigd door OK13 op 12-01-2011 19:48 . Reden: typo ]

Bepaalde zaken kan je met behulp van Software restriction policies beperken. Ik heb wel eens de updater van Java hiermee onderdrukt. Wellicht dat hiermee iets te doen is. Of anders kan jet het proberen mbv het volgende:

User Configuration > Administrative Templates > Internet Explorer > Internet Control Panel > Advanced Page > Allow third-party browser extensions

Mijn ervaring met het managen van "echte" browsers zoals firefox via GPO is dat het een op zijn zachtst gezegd nogal moeilijk is. Als dit makelijker zou zijn dan was ik de eerste die firefox als standaard zou installeren. Je kan natuurlijk wel weer firefox ed blocken middels de software restriction policies...

[ Voor 38% gewijzigd door Monkeybrains op 12-01-2011 20:40 . Reden: aanvulling ]

Monkeybrains schreef op woensdag 12 januari 2011 @ 20:32:
Mijn ervaring met het managen van "echte" browsers zoals firefox via GPO is dat het een op zijn zachtst gezegd nogal moeilijk is. Als dit makelijker zou zijn dan was ik de eerste die firefox als standaard zou installeren. Je kan natuurlijk wel weer firefox ed blocken middels de software restriction policies...

Dat is toch jammer van Microsoft, begrijpelijk, maar jammer...

OK13 schreef op woensdag 12 januari 2011 @ 20:54:
[...]


Dat is toch jammer van Microsoft, begrijpelijk, maar jammer...

Het is niet zo zeer Microsoft maar meer de makers van de browsers. Als die met ADM's zouden komen waarmee hun software te managen is waren we een heel eind verder

(of begrijp ik je nu verkeerd en vindt je het jammer dat firefox te blocken is middels gpo? )

[ Voor 12% gewijzigd door Monkeybrains op 12-01-2011 21:02 ]

Verwijderd schreef op woensdag 12 januari 2011 @ 19:37:

Nu wil ik instellen dat gewone gebruikers geen software kunnen installeren (bv derde of illegale software).

Ik vraag me af wat je dan zelf nagekeken hebt, want een standaard user kan dat sowieso al niet - tenzij het portable apps zijn of apps die zich in zijn homedir laten installeren zonder system registry settings of folders te raken.

[google=prevent software installation normal users] bijvoorbeeld, je kan diverse technieken inzetten.
SRP's bijvoorbeeld, wat tegenwoordig Applocker wordt genoemd.

Monkeybrains schreef op woensdag 12 januari 2011 @ 20:32:

Mijn ervaring met het managen van "echte" browsers zoals firefox via GPO is dat het een op zijn zachtst gezegd nogal moeilijk is. Als dit makelijker zou zijn dan was ik de eerste die firefox als standaard zou installeren. Je kan natuurlijk wel weer firefox ed blocken middels de software restriction policies...

Nog nooit gehoord van Firefox ADM's?
[google=firefox adm template]

Frontmotion.com heeft ze inclusief een MSI packaged FF 3.6.13 met GPO addon erin.
Werkt prima, zij het wat lastig omdat een aantal settings machine based zijn.
Maar ook dat is goed af te vangen met GPO targeting + filtering.

En dat laat in het midden dat IE8 heel goed af te richten is (qua addons, internet zone scheidingen voor scripting) zodat je zelfs in een corporate omgeving een perfect bruikbare browser hebt waar je samen met een goed ingesteld update management tool als SCCM of voor mijn part WSUS keurig alles afvangt.

Dat moet je bij FF maar afwachten of je op tijd een MSI gebakken kan krijgen die je kan inzetten daarvoor - los van de controle op al dan niet approved addons of extensions.

[ Voor 52% gewijzigd door alt-92 op 12-01-2011 21:25 ]

alt-92 schreef op woensdag 12 januari 2011 @ 21:17:

Nog nooit gehoord van Firefox ADM's?
[google=firefox adm template]

Frontmotion.com heeft ze inclusief een MSI packaged FF 3.6.13 met GPO addon erin.
Werkt prima, zij het wat lastig omdat een aantal settings machine based zijn.
Maar ook dat is goed af te vangen met GPO targeting + filtering.

Hey, dat is mooi! Ik moet je eerlijk bekenen dat het een poos terug is dat ik naar Firefox en GPO/ADM heb zitten kijken. Thanks voor de info!