Installation blocken

Hallo,

ist es möglich das ich auf einem PC mit Win XP Pro SP 2 keine Intallationen zulasse? Also das keines was drauf installieren kann? Diesen Schutz sollte man aber wieder aufheben können.

Ja, ganz einfach: Dem Nutzer keine Adminrechte geben.

Hmm ja klingt logisch

Aber sonst kann der Nutzer alles machen was man so macht oder? Word, Excel, Outlook Programme nutzen, Internet.

ja

Ich sage mal JEIN - es gibt bestimmte Programme, die einer kleinen Anpassung benötigen, wenn der Benutzer keine Adminrechte hat, Map&Guide ist eines davon. Microsofts Office-Produkte funktionieren hingegen auch prima mit eingeschränkten Rechten, Fireofx und andere Browser ebenfalls, auch Paint.NET und GIMP lassen sich davon nicht beeindrucken.

Das Entziehen der Adminrechte verhindert aber nicht explizit das Installieren von Programmen, sondern unterbindet auch die Installation von lokalen Druckern und schränkt die (Schreib-)Zugriffe auf die Registry und die Laufwerke stark ein usw.
Generell empfiehlt sich das Arbeiten OHNE Adminrechte, da so auch das Risiko eines Schädlingsbefalls deutlich geringer ist.

Ja das soll ein Büro PC sein wo zuerst alles installiert wird und dann eben der User alles nutzen kann aber eben nix installieren usw.

ich arbeite nur mit einem eingeschrängten Benutzeronto, twoday hat recht, es gibt Programme die da nicht richtig funzen.
Einige Programme funktionieren in einem Mehrbenutzersystem nur in dem Konto wo es installiert wird.
Viele machen keine Startmenüeinträge im AllUsers Konto usw, sehr ärgerlich!

Problemkinder sind z.b. einige FTP-Programme, Nero (da gibts aber das Brennrechttool), auch man mag es kaum glauben, mein Photoshop CS hat Probleme bereitet.

Und einige Scanner wollen auch nicht mehr.
Mein Epson Photo 1650 am USB streikte gänzlich und ich musste einige Anpassungen vornehmen.
z.b. C:/Windows/twain_32
den Twainordner mit re. Maus dann auf Sicherheit, den jeweiligen Benutzer hinzufügen, Vollzugriff geben und nach unten vererben.
Ausserdem musste ich in der Reg unter HLKM/Software ebenfalls in den Sicherheitseinstellungen den Epsonschlüssel dem Benutzer Vollzugriff (nach unten vererben nicht vergessen) geben und das ganze noch mit allen Twain-Regschlüssel.
Erst dann funzte der Scanner.

Mein Canon FS2710 am SCSI dagegen hatte keine Probleme.

Gruß

Andreas

Kleine Anmerkung hierzu:

Andreas_S. schrieb:

[...]den Twainordner mit re. Maus dann auf Sicherheit, den jeweiligen Benutzer hinzufügen, Vollzugriff geben und nach unten vererben.[...]

Zum Vergrößern anklicken....

Für einen Einzelplatz mag das ne adäquate Lösung sein, in einem grösseren Netz verursacht das zwangsläufig Probleme. ACLs sollten _NIEMALS_ an Benutzerkonten aufgehängt werden, stattdessen sollte man sich Gruppen anlegen und verschachteln und diesen dann Berechtigungen zuweisen. Im Lehrbuch von Microsoft funktioniert das so: A => GG => DL <= P

Ein Account wird Mitglied einer Globalen Gruppe, diese wiederum wird Mitglied einer Domänenlokalen Gruppe und diese Gruppe wird dann in der ACL die entsprechende Berechtigung zugewiesen.

Würde man das auf Benutzerebene machen und z.B. einen Benutzer löschen, bleibt in der ACL ein unbekanntes Konto stehen, was den Aufbau/die Abfrage der ACL u.U. extrem verlangsamen kann. Weist man hingegen der Gruppe die Berechtigung zu, kann der User bedenkenlos gelöscht werden, da sich an der ACL selbst ja nichts ändert.

Wenn der Rechner an einem DC hängt ist klar, da passt meine Lösung nicht!