Benjamin_O Geschrieben 4. Oktober 2005 Geschrieben 4. Oktober 2005 Jeder Benutzer in einer Windows Server 2003 Domäne ist Mitglied eines Domänen-Benutzers und der entsprechenden Abteilung. Wenn jetzt mit diesen Rechten ein Benutzer versucht eine Software zu installieren, soll immer eine Meldung kommen, daß die Installation aufgrund fehlender Rechte verweigert wird. Leider gibt es trotzdem bestimmte Software, die eine solche Rechtevergabe ignoriert (z.B. WinZip) und sich trotzdem installiert. Die Clients haben Win 2000 & XP Pro. Wie läßt sich dieses Problem lösen ? Mfg Benjamin
robotto7831a Geschrieben 4. Oktober 2005 Geschrieben 4. Oktober 2005 Das wirst Du schwer in den Griff bekommen. Du könntest zwar per GPO den Windows Installer deaktivieren aber das hindert einen normales Setupprogramm nicht daran Programme zu installieren. Frank
bmg4ever Geschrieben 5. Oktober 2005 Geschrieben 5. Oktober 2005 außerdem gibt es auch programme, die man internet als komplette binaries auch für windows bekommt, die also gar keinen installer haben. Da fallen mir spontan zwar nur Putty und Notepad++ ein, aber da gibts bestimmt noch mehr, und das wirst du einfach nicht verhindern können, solange die Leute Schreibrechte auf eine Festplatte haben. Also "take it easy". So schlimm ist es auch nicht. Wenn Ihr befürchtet, dass jemand illegale Software oder andere schlimme Dinge installiert, dann ist es für den Betrieb doch meines Wissens völlig ausreichend den Mitarbeiter eine "Internet und/oder PC-Nutzungsverordnung" unterschreiben zu lassen!?
perdian Geschrieben 5. Oktober 2005 Geschrieben 5. Oktober 2005 Wie läßt sich dieses Problem lösen ?Definiere "Programminstallation". Oder anders gesagt: Es gibt nicht "die" Installation. Wo hört "Dateien A-C in Verzeichnis D kopieren" auf und wo fängt "Programm E installieren" an? Nicht jedes Programm wird über einen der klassischen Installer (Windows Installer, Wise, Nullsoft, etc.) installiert. Ich kann dir in ein paar Minuten ein Programm schreiben, was dir Datein aus einem Archiv in ein zu wählendes Verzeichnis kopiert und vielleicht auch noch ein paar Registry Einträge setzt - und damit hast du einen Installationsvorgang, wirst diesen jedoch von aussen automatisiert so leicht nicht als solchen erkennen können. Wie läßt sich dieses Problem lösen ?Durch vertrauensvollen Umgang mit den Mitarbeitern. Wenn ich gute Leute habe, dann wird denen einmal klargemacht, dass sie keine Software installieren dürfen (notfalls auch schriftlich). Tun sie es dennoch lässt sich das ganz klar nachweisen und verfolgen.
Benjamin_O Geschrieben 5. Oktober 2005 Autor Geschrieben 5. Oktober 2005 @bmg4ever Auch wenn alle Mitarbeiter eine solche Verordnung unterschreiben würden, die Verantwortung daß eine solche Nutzung überhaupt möglich ist, liegt weiterhin bei mir. Deshalb gibt es nach wie vor die Vorgabe einer klaren Trennung: Ein Benutzer lädt keine ausführbaren Dateien aus dem Internet (wird überwacht durch squid) sowie weitere nicht genehmigte Dateiendungen und erhält bei jeder Installtion, die Änderungen am System vornimmt, einen Hinweis daß keine Berechtigung besteht. @perdi Wie kannst du nachweisen, welcher Benutzer eine Software installiert hat ? Eine Trennung zwischen Administrator und Benutzer ist schon mal nicht möglich, da jede Software nach meinen Erfahrungen grundsätzlich auch unter der Anmeldeoberfläche des Benutzers installiert werden muss. Mfg Benjamin
Monarch Geschrieben 6. Oktober 2005 Geschrieben 6. Oktober 2005 Och, normal sollte man das ganz schnell am Besitzer der Programmdateien sehen können...
Benjamin_O Geschrieben 7. Oktober 2005 Autor Geschrieben 7. Oktober 2005 @Monarch Dies kann ich nicht nachvollziehen. Wenn ich eine Software unter der Anmeldefläche des Benutzers installiert habe, wer ist dann der Besitzer der Programmdatei (bzw. wo wird dies genau angezeigt) ? Auch wenn eine solche Anzeige möglich ist, eine solche Auswertung würde bei uns niemand interessieren. Es reicht, daß ein Benutzer in der Lage gewesen ist, eine Software zu installieren. Es wird wohl für diese Vorgabe keine richtige Lösung geben. Ich habe inzwischen den Vorschlag erhalten, den PC Hardware oder Softwaregesteuert auf Systemveränderungen zu überwachen. Beim Neustart des Rechners wird dieser wieder in den Ursprungszustand zurückgesetzt. Wie sind hier die Meinungen ? Mfg Benjamin
Monarch Geschrieben 7. Oktober 2005 Geschrieben 7. Oktober 2005 @Monarch Dies kann ich nicht nachvollziehen. Wenn ich eine Software unter der Anmeldefläche des Benutzers installiert habe, wer ist dann der Besitzer der Programmdatei (bzw. wo wird dies genau angezeigt) ? Das sieht man in den Eigenschaften der Datei, kann aber auch als zusätzliche Spalte im Explorer eingeblendet werden... Wenn dies deine Vorgaben (die wir leider nicht eindeutig kennen) erfüllt, ist das möglich. Microsoft bietet ein entsprechendes Toolkit für Windows XP kostenlos an: http://www.microsoft.com/windowsxp/sharedaccess/default.mspx Ansonsten wirst du ein anderes Betriebssystem nehmen müssen.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden