Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

office/outlook via GPO op terminal server en vaste pc's

Pagina: 1
Acties:

maandag 27 mei 2013 11:48

Acties:
  • chr1st14n
  • Registratie: December 2007
  • Laatst online: 26-11 13:04

chr1st14n

Topicstarter
Ik heb een klant die een terminal server heeft waarop on een 40 users werken. maar nu wil de klant dat office/outlook niet voor iedereen zomaar toegankelijk is (office -> word, excel, powerpoint, outlook --> mail). er zijn gebruikers die alleen maar outlook mogen gebruiken, en er zijn gebruikers die outlook en office mogen gebruiken, en ik heb ook gebruikers die geen van beide mogen gebruiken (deze gebruikers mogen alleen bij een andere programma komen, welke voor iedereen toegankelijk is). verder zitten er op de vestiging zelf (bij de klant) ook medewerkers die werken vanaf een vaste computer (waarop outlook/office lokaal te benaderen moet zijn).

Nu zie ik verschillende dingen om outlook via een GPO, maar ik zie even door de bomen het bos niet meer zeg maar. Het is de bedoeling dat de vaste computers in het kantoor gedeelte alles krijgen (office/outlook) en de pc's bij de balie computers/ magazijn pc's alleen outlook (dit lukt me nog wel). maar nu heb ik ook gebruikers die op de terminal server werken, hier moet ik onderscheid maken tussen wie wel en wie niet outlook / office mag hebben. maar de mensen van kantoor werken ook nog wel eens thuis, en dan moeten deze mensen ook weer alles hebben.

Ik zie even niet hoe ik office/outlook via een groep kan uitrollen. dat als je lid bent van groep "Office" dat je office krijgt, en dat als je lid bent van groep "Outlook" dat je outlook krijgt (en als je lid bent van beide krijg je beide). en dit moet werken op een terminal server.

Ik hoop dat ik mijn "probleem" een beetje duidelijk heb kunnen verwoorden.

[Core i7-8700K] [Scythe Mugen 5 Black RGB] [ASUS Z-370-GAMING] [4x8gb DDR4-3000] [INNO3D RTX5070 Ti] [250GB Samsung 960 EVO] [3x512TB Crucial MX500 (R0)] [Corsair 350D]

maandag 27 mei 2013 11:51

Acties:

Verwijderd

En het is geen optie om dit gewoon middels NTFS-permissions op de executables af te schermen? Dat doen wij meestal met pakketjes, die maar door een beperkte groep mensen gebruikt mogen worden. --> Groepje aanmaken in de AD en die groep de nodige NTFS-permissions op de executable geven.

maandag 27 mei 2013 11:51

Acties:
  • Coach4All
  • Registratie: Januari 2003
  • Laatst online: 29-11 21:14

Coach4All

I'm a Coach 4 All

Welke versie van Windows Server en welke Office versie?

Als het om 2008 Server gaat, dan denk ik dat WMI filtering jouw zoekwoord zou moeten zijn qua GPO

--- Systeembeheerdersdag --- Voedselintolerantie ---

maandag 27 mei 2013 12:00

Acties:
  • arjants
  • Registratie: Mei 2000
  • Niet online

arjants

Op een terminal server zou ik eerder kijken naar Res Workspace Manager
De gratis versie doet eigenlijk alles wat jij zoekt en is een prima oplossing voor het inrichten van je TS servers.

Hiermee kun je per gebruiker aangeven welke programma's zij zien en schermt de server goed af voor oneigenlijk gebruik.

Afbeeldingslocatie: http://blog.ressoftware.com/wp-content/uploads/2012/11/MO-1.png

Voor de beeldvorming de mogelijkheden tijdens het aanmaken van een applicatie in RES: http://blog.ressoftware.c...nd-res-workspace-manager/

[ Voor 46% gewijzigd door arjants op 27-05-2013 12:08 ]

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)

maandag 27 mei 2013 12:00

Acties:
  • chr1st14n
  • Registratie: December 2007
  • Laatst online: 26-11 13:04

chr1st14n

Topicstarter
Verwijderd schreef op maandag 27 mei 2013 @ 11:51:
En het is geen optie om dit gewoon middels NTFS-permissions op de executables af te schermen? Dat doen wij meestal met pakketjes, die maar door een beperkte groep mensen gebruikt mogen worden. --> Groepje aanmaken in de AD en die groep de nodige NTFS-permissions op de executable geven.
Hier heb ik aan zitten denken, maar dan moet ik dus een heleboel pc's bij langs om dit te doen (dus ook de vaste pc's)
Coach4All schreef op maandag 27 mei 2013 @ 11:51:
Welke versie van Windows Server en welke Office versie?

Als het om 2008 Server gaat, dan denk ik dat WMI filtering jouw zoekwoord zou moeten zijn qua GPO
Alle servers draaien op 2008 r2 en het moet met office 2010. En het moet nu zo geconfigureerd worden dat er een "duidelijk" overzicht is wie welke software kan gebruiken. vorige systeembeheerder heeft ergens een of ander mooi cd'tje weggetoverd waar geen code gevraagd word (VL) en deze altijd maar geïnstalleerd zonder iedere keer een licentie aan te schaffen.... Nu een check van "LicentieCheck" van Microsoft (ze bestaan dus toch) en nu wil de klant (de directeur van het bedrijf) duidelijk kunnen zien wie waarbij zou kunnen.

Nu dacht ik van "dit doe ik wel ff via een GPO'tje" maar deze kunnen volgens mij alleen aan OU's met pc's gekoppeld worden. (of zie ik dit mis?)

[Core i7-8700K] [Scythe Mugen 5 Black RGB] [ASUS Z-370-GAMING] [4x8gb DDR4-3000] [INNO3D RTX5070 Ti] [250GB Samsung 960 EVO] [3x512TB Crucial MX500 (R0)] [Corsair 350D]

maandag 27 mei 2013 12:03

Acties:

Verwijderd

chr1st14n schreef op maandag 27 mei 2013 @ 12:00:
[...]


Hier heb ik aan zitten denken, maar dan moet ik dus een heleboel pc's bij langs om dit te doen (dus ook de vaste pc's)


[...]
Daar zijn ook andere manieren voor:
- via GPO
- via scripting

Persoonlijk zou ik eerst eens naar de mogelijkheden via GPO kijken.

De eerste MS-link, die ik tegenkwam via google: http://technet.microsoft....ry/cc756952(v=ws.10).aspx

maandag 27 mei 2013 12:04

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 14:15

Hero of Time

Moderator LNX

There is only one Legend

Je kan met GPO opgeven welke programma's gestart mogen worden, of juist niet. Hier kan je ook naar kijken, dat je groep office rechten geeft om excel.exe, winword.exe en outlook.exe mogen starten; mensen die alleen outlook mogen gebruiken, mogen outlook.exe uitvoeren en de rest mag geen van deze uitvoeren.

Te vinden onder User configuration > Policies > Administrative Template > System: Don't run specified Windows applications. Of Run only specified applications.
Omschrijving van prevent to run:
Prevents Windows from running the programs you specify in this setting.

If you enable this setting, users cannot run programs that you add to the list of disallowed applications.

This setting only prevents users from running programs that are started by the Windows Explorer process. It does not prevent users from running programs, such as Task Manager, that are started by the system process or by other processes. Also, if you permit users to gain access to the command prompt, Cmd.exe, this setting does not prevent them from starting programs in the command window that they are not permitted to start by using Windows Explorer. Note: To create a list of disallowed applications, click Show. In the Show Contents dialog box, in the Value column, type the application executable name (e.g., Winword.exe, Poledit.exe, Powerpnt.exe).

Commandline FTW | Tweakt met mate

maandag 27 mei 2013 12:26

Acties:
  • chr1st14n
  • Registratie: December 2007
  • Laatst online: 26-11 13:04

chr1st14n

Topicstarter
Hero of Time schreef op maandag 27 mei 2013 @ 12:04:
Je kan met GPO opgeven welke programma's gestart mogen worden, of juist niet. Hier kan je ook naar kijken, dat je groep office rechten geeft om excel.exe, winword.exe en outlook.exe mogen starten; mensen die alleen outlook mogen gebruiken, mogen outlook.exe uitvoeren en de rest mag geen van deze uitvoeren.

Te vinden onder User configuration > Policies > Administrative Template > System: Don't run specified Windows applications. Of Run only specified applications.
Omschrijving van prevent to run:

[...]
Zal hier eens naar kijken.

[Core i7-8700K] [Scythe Mugen 5 Black RGB] [ASUS Z-370-GAMING] [4x8gb DDR4-3000] [INNO3D RTX5070 Ti] [250GB Samsung 960 EVO] [3x512TB Crucial MX500 (R0)] [Corsair 350D]

maandag 27 mei 2013 15:16

Acties:
  • chr1st14n
  • Registratie: December 2007
  • Laatst online: 26-11 13:04

chr1st14n

Topicstarter
En het 2e "probleem" waar ik nog mee zit is dat er allerlei verschillende client os'en zijn (XP Prof, Vista Business (x86 en x64), windows 7 prof (x86 en x64)), dus 1 installatie gaat hier ook niet op...

[Core i7-8700K] [Scythe Mugen 5 Black RGB] [ASUS Z-370-GAMING] [4x8gb DDR4-3000] [INNO3D RTX5070 Ti] [250GB Samsung 960 EVO] [3x512TB Crucial MX500 (R0)] [Corsair 350D]

maandag 27 mei 2013 15:30

Acties:
  • Killah_Priest
  • Registratie: Augustus 2001
  • Nu online

Killah_Priest

1 woord : applocker

maandag 27 mei 2013 16:18

Acties:
  • Hero of Time
  • Registratie: Oktober 2004
  • Laatst online: 14:15

Hero of Time

Moderator LNX

There is only one Legend

Killah_Priest schreef op maandag 27 mei 2013 @ 15:30:
1 woord : applocker
Grote onzin als je dat ook met GPO kan afvangen. Ik vind 't gebruik van extra programma's wat standaard in Windows al kan zo'n grote BS. Het is te belachelijk dat er nog bedrijven zijn die hier geld mee verdienen.

Commandline FTW | Tweakt met mate

maandag 27 mei 2013 16:29

Acties:
  • Killah_Priest
  • Registratie: Augustus 2001
  • Nu online

Killah_Priest

Hero of Time schreef op maandag 27 mei 2013 @ 16:18:
[...]

Grote onzin als je dat ook met GPO kan afvangen. Ik vind 't gebruik van extra programma's wat standaard in Windows al kan zo'n grote BS. Het is te belachelijk dat er nog bedrijven zijn die hier geld mee verdienen.
Applocker rol je juist uit via GPO, dit is juist een standaard feature van Server2008R2 (en de enterprise versies van Windows 7 en 8 )

Applocker is een soort van opvolger van software restriction policies.
Ik probeer zelf overigens altijd zoveel mogelijk gebruik te maken van ingebouwde features van Windows zelf, ik ben nooit een grote fan van 3rd party software gebruiken voor zaken welke ingebouwd zitten in het OS (tenzij de 3rd party software het stukken beter kan)

[ Voor 26% gewijzigd door Killah_Priest op 27-05-2013 16:40 ]

maandag 27 mei 2013 23:40

Acties:

Verwijderd

Hero of Time schreef op maandag 27 mei 2013 @ 12:04:
Je kan met GPO opgeven welke programma's gestart mogen worden, of juist niet. Hier kan je ook naar kijken, dat je groep office rechten geeft om excel.exe, winword.exe en outlook.exe mogen starten; mensen die alleen outlook mogen gebruiken, mogen outlook.exe uitvoeren en de rest mag geen van deze uitvoeren.

Te vinden onder User configuration > Policies > Administrative Template > System: Don't run specified Windows applications. Of Run only specified applications.
Omschrijving van prevent to run:

[...]
Moet je je systemen wel potdicht hebben zitten om het monkeyproof te krijgen. Met een oldskool Total Commander op een usb-stick kun je veel meer dan je denkt. Ze hebben hier bijvoorbeeld alle lokale schijven op de citrix servers verborgen, maar met total commander kun je er zo bij. Je mag niet naar UNC-paden browsen in de explorer, maar met.... va zo maar door.

[ Voor 11% gewijzigd door Verwijderd op 27-05-2013 23:44 ]

dinsdag 28 mei 2013 00:48

Acties:
  • Killah_Priest
  • Registratie: Augustus 2001
  • Nu online

Killah_Priest

Verwijderd schreef op maandag 27 mei 2013 @ 23:40:
[...]

Moet je je systemen wel potdicht hebben zitten om het monkeyproof te krijgen. Met een oldskool Total Commander op een usb-stick kun je veel meer dan je denkt. Ze hebben hier bijvoorbeeld alle lokale schijven op de citrix servers verborgen, maar met total commander kun je er zo bij. Je mag niet naar UNC-paden browsen in de explorer, maar met.... va zo maar door.
Binnen 10 minuten is dit vrijwel potdicht te timmeren met applocker policies, dan krijg je Total Commander niet gestart, ongeacht op welke locatie je het probeert te starten.

Applocker is helaas nog steeds niet bekend bij veel beheerders ; zonde want hiermee kan je echt op zeer makkelijke wijze je TS beter beveiligen (doordat jij kan bepalen wat wel en niet gestart kan worden). De basis van Applocker is dmv whitelists aan te geven vanaf welke locatie men iets mag starten - staat een locatie niet in de lijst dan kan je simpelweg geen executable starten welke hier staat (de "default" rules whitelisten alleen de Windows folder en de Program Files folder - hier voeg je eventueel nog applicaties welke op shares staan toe door de UNC paden daarvan toe te voegen. Eventueel whitelist je nog een aantal applicaties op basis van filehash (unsigned files) of op basis van leverancier, applicatie of versie (bij files) die dan ook altijd uitgevoerd mogen worden en je maakt eventueel nog een aantal vermeldingen voor blacklists van wat er niet gedraaid kan worden en klaar..
En dat alles uiteraard op basis van user of groep, makkelijker kan bijna niet.

(Applocker heeft overigens 2 modes - Audit en Enforce. In Audit mode worden er alleen events gelogt wanneer applocker "iets zou blokkeren als het in Enforce had gestaan" ; hierdoor kan je eerst je policies maken en finetunen voordat je het helemaal live gooit aangezien je precies ziet wie wat draait vanuit welke locaties zodat je weet wat je dient te whitelisten en wat je dient te blacklisten).

dinsdag 28 mei 2013 07:31

Acties:

Verwijderd

Killah_Priest schreef op dinsdag 28 mei 2013 @ 00:48:
[...]


Binnen 10 minuten is dit vrijwel potdicht te timmeren met applocker policies, dan krijg je Total Commander niet gestart, ongeacht op welke locatie je het probeert te starten.

Applocker is helaas nog steeds niet bekend bij veel beheerders ; zonde want hiermee kan je echt op zeer makkelijke wijze je TS beter beveiligen (doordat jij kan bepalen wat wel en niet gestart kan worden). De basis van Applocker is dmv whitelists aan te geven vanaf welke locatie men iets mag starten - staat een locatie niet in de lijst dan kan je simpelweg geen executable starten welke hier staat (de "default" rules whitelisten alleen de Windows folder en de Program Files folder - hier voeg je eventueel nog applicaties welke op shares staan toe door de UNC paden daarvan toe te voegen. Eventueel whitelist je nog een aantal applicaties op basis van filehash (unsigned files) of op basis van leverancier, applicatie of versie (bij files) die dan ook altijd uitgevoerd mogen worden en je maakt eventueel nog een aantal vermeldingen voor blacklists van wat er niet gedraaid kan worden en klaar..
En dat alles uiteraard op basis van user of groep, makkelijker kan bijna niet.

(Applocker heeft overigens 2 modes - Audit en Enforce. In Audit mode worden er alleen events gelogt wanneer applocker "iets zou blokkeren als het in Enforce had gestaan" ; hierdoor kan je eerst je policies maken en finetunen voordat je het helemaal live gooit aangezien je precies ziet wie wat draait vanuit welke locaties zodat je weet wat je dient te whitelisten en wat je dient te blacklisten).
Ik denk dat dit ook een betere optie is. De hierboven genoemde mogelijkheid beperkt namelijk alleen de applicaties die vanuit een explorer-proces gestart worden.

Maar het is een "vrij nieuwe" feature, dus het verbaast me niet dat velen hem nog niet kennen. MIsschien ga ik er over een tijdje nog wel eens een keer mee spelen. Voorlopig helaas geen tijd.

dinsdag 28 mei 2013 07:41

Acties:
  • Appel
  • Registratie: November 2007
  • Laatst online: 13-11 14:47

Appel

Is dit niet wat je zoekt?

http://technet.microsoft.com/en-us/library/hh994606.aspx

dinsdag 28 mei 2013 08:51

Acties:
  • Killah_Priest
  • Registratie: Augustus 2001
  • Nu online

Killah_Priest

Appel schreef op dinsdag 28 mei 2013 @ 07:41:
Is dit niet wat je zoekt?

http://technet.microsoft.com/en-us/library/hh994606.aspx
Applocker is de opvolger van software restriction policies.
Zie http://technet.microsoft.com/en-us/library/hh831409.aspx

dinsdag 28 mei 2013 08:56

Acties:
  • Newjersey
  • Registratie: November 2000
  • Laatst online: 00:31

Newjersey

Start menu middels de GPO redirecten en vervolgens per mapjes icoontjes aanmaken met daarop de bijbehorende rechten? Dus bijvoorbeeld een groep voor Word, Excel en Outlook.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq