[Win2k Server] Users niet laten installeren - Windows clients

zondag 9 september 2001 23:32

Acties:

Topicstarter

Ik heb nu een tijdje een Win2k-server staan, maar daar werken ook 2 mensen op. (ik weet het: niet echt handig, maar ik heb nou eenmaal geen 6 PC's thuis).
Nu wil ik die server dus eigenlijk wel een beetje netjes houden, dus wil ik ervoor zorgen dat de gewone users geen software kunnen installeren.
Maar hoe kan ik dat het beste doen ?
De hele 'program files' voor de users read-only maken heeft geen zin, er zijn programma's die daar gewoon hun data in opslaan.
Ik weet wel dat ik software door middel van de Windows Installer aan de gebruikers kan 'toekennen' zodat ze het via 'Add/Remove Software' kunnen installeren.
Maar andersom ?
Lijkt me vrij lastig voor Windows om het verschil te merken tussen een gewoon programma of een setup.
Veel programma's komen dan op een gegeven moment niet verder, maar ICQ bijv. heeft dan al wel een hele hoop gekopieerd.

maandag 10 september 2001 00:03

Acties:

jan-marten

utp

users kun je indelen in niveaus:

Administrator
Hoofd gebruikers
Gebruikers
Gast

etc (config-> users enzo, ff zoeken)

en lezen

maandag 10 september 2001 08:03

Acties:

Smurff

als je van de gebruikers gewoon standaard user maakt kunnen ze volgens mij nix installeren

maandag 10 september 2001 10:06

Acties:

maikel

Topicstarter

Dat kunnen ze dus wel.
Ze kunnen ook applicaties starten, dus ook applicaties die bestanden gaan kopieren (installaties dus).

maandag 10 september 2001 14:37

Acties:

Smurff

uhm ja kunnen alleen niet naar winnt dir schrijven.
probeer het anders een met een policy

maandag 10 september 2001 15:11

Acties:

HooGLaNDeR

- = I am immortal =-

Op maandag 10 september 2001 00:03 schreef jan-marten het volgende:
users kun je indelen in niveaus:

Administrator
Hoofd gebruikers
Gebruikers
Gast

etc (config-> users enzo, ff zoeken)

en lezen

Ik heb dit zelf ook opgelost op een win2k pro bak met diverse users. ik heb degenen die geen software mogen installeren standaard gebruiker gemaakt. Ze kunnen alleen met admin of poweruser account software toevoegen. (power-user= hoofdgebruiker)
Werkt ideaal. Wordt de boel mooi clean gehouden.....

Ik heb geen achtervolgingswaanzin. Maar dat wil niet zeggen dat niemand mij achtervolgd!!

dinsdag 11 september 2001 09:34

Acties:

maikel

Topicstarter

Op maandag 10 september 2001 14:37 schreef Smurff het volgende:
uhm ja kunnen alleen niet naar winnt dir schrijven.
probeer het anders een met een policy

Juist, maar dit wil ik dus voorkomen.
Bij de policies kon ik niks vinden. Alleen maar over de Windows Installer.

zaterdag 15 september 2001 19:35

Acties:

maikel

Topicstarter

Niemand meer ?

zaterdag 15 september 2001 23:00

Acties:

Verwijderd

Ik begrijp je probleem niet. Een gebruiker mag vrijwel niks. Installaties zijn erg moeilijk omdat grote delen van het systeem niet beschrijfbaar zijn, met filesecurity los je de rest op.

Wim

zondag 16 september 2001 00:00

Acties:

maikel

Topicstarter

Nou, ICQ bijv. kopieert eerst een hele hoop en wil vervolgens in de system-dir nog wat zetten. En daar gaat ie pas op fout !
Maar dan heeft ie dus intussen al een hoop gekopieerd.

En de schrijfrechten voor 'program files' uitzetten is ook niks, want ICQ wil daar ook steeds in schrijven (history etc.).
En de users moeten sommige programma's wel zelf installeren omdat anders een hoop registry-settings niet kloppen. En dan zou het allemaal erg omslachtig moeten.

Dan zou ik dus per subdir in 'program files' dat allemaal moeten aanpassen.
En ook voor de winnt-dir.

Ik vraag me dus af of er geen makkelijkere manier is.
Het installeren toestaan kan wel handig door middel van de Windows Installer.
Ik wil nu dus eigenlijk hebben dat ik de programma's opgeef en de gebruikers die dan via de Windows Installer kunnen installeren en niet anders !
De vorige keer ontdekte ik ook al software op de server zonder dat ik daar toestemming voor had gegeven.
Nou is een beetje software niet zo'n ramp, maar voor je het weet staat de hele server vol met zooi.

zondag 16 september 2001 00:34

Acties:

Verwijderd

Tsja, dan kom je in de software policies sferen (en je hebt een server dus als je een domein hebt kan dat ook)

Over die program files trouwens. Je kunt best program files dicht zetten en bepaalde delen dan weer open

Wim

zondag 16 september 2001 10:48

Acties:

maikel

Topicstarter

Aha. Ik heb een domein, dus dat zou dan moeten kunnen.
En dan van de root & winnt ook alle schrijfrechten weg ? (behalve van de admin natuurlijk

).

zondag 16 september 2001 13:30

Acties:

Verwijderd

Kijk eens naar de meegeleverde security templates. Die doen al veel instellingen vanzelf, vervolgens kun je nog zaken toevoegen. Let wel dat sommige oudere programma's graag willen schrijven in de winnt directory.

Wim

woensdag 14 november 2007 10:24

Acties:

Verwijderd

Al een oplossing gevonden inmiddels om via een makkelijke weg alles dicht te zetten voor user
zodat er geen enkel programma geinstalleerd kan worden?

woensdag 14 november 2007 11:11

Acties:

alt-92

ye olde farte

Chris, ik vermoed van wel na dik zes (!) jaar.

Als je een vraag hebt, en je komt ergens niet uit, maak dan liever een eigen topic aan waarin je verwijst naar topics die je hebt gevonden maar waar je zelf niet uitkomt.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device