Allgemeines 21.983 Themen, 148.557 Beiträge

Verfolgung starten Optionen

Windows O/S - Installation generell verbieten

Mr-Durden / 34 Antworten / Baumansicht Nickles

Hi Folks!


In unserem Betrieb haben wir ein paar Laptop User. Diese haben Administratorenrechte auf dem PC. Leider kommt es immer wieder vor, dass User Fremdsoftware installieren.


Dies möchte ich gerne unterbinden. Einziger Kniff dabei:
Die Mitarbeiter sollen Administratoren Rechte haben, nur soll verhindert werden, dass Programme jeglicher Art installiert werden können.


Ich habe diesbezüglich auch schon in der MMC (Microsoft Management Console) einige Experimente gemacht. Jedoch ohne Erfolg.


Kann mir jemand weiterhelfen?

bei Antwort benachrichtigen
Max Payne Mr-Durden „Windows O/S - Installation generell verbieten“
Optionen

Der Administrator hat per definitionem alle Rechte - was Du vorhast, kann also nicht funktionieren.

Aber Du kannst eine neue Benutzergruppe erstellen, der Du die gewünschten Rechte gibst. Gibt es einen bestimmten Grund, warum die Laptop-User Admin-Rechte haben sollen?

The trouble with computers is that they do what you told them – not necessarily what you wanted them to do.
bei Antwort benachrichtigen
Mr-Durden Nachtrag zu: „Windows O/S - Installation generell verbieten“
Optionen

@Max Payne

Danke für schnelle Antwort.

In der MMC ist es aber möglich, diverse Kategorien zu sperren, die trotz des Administrator Accounts nicht eingesehen und nur durch die MMC wieder entsperrt werden können. Es müsste also eine Gruppenrichtlinie geben, um dies zu unterbinden.
Nur kann ich diese nicht finden.
Ich habe zwar die Möglichkeit, den Windowsinstaller zu deaktivieren, aber das befriedigt mich nicht so richtig.

Ich könnte natürlich eine neue Gruppe erstellen, aber dazu müsste ich erstmal dieses Recht finden ;)

Es hat einen Grund, dass sie Adminrechte brauchen. Sie werden für diverse Applikationen benötigt. Danke schonmal

bei Antwort benachrichtigen
stareagle Mr-Durden „@Max Payne Danke für schnelle Antwort. In der MMC ist es aber möglich, diverse...“
Optionen

Hallo Mr-Durden,

was sind das für Anwendungen, die Admin-Rechte haben wollen? Reichen nicht event. Hauptbenutzerrechte?
Bei vielen Programmen, die ohne Admin-Rechte nicht laufen, lohnt es sich mal zu schauen, ob es hilft, wenn man auf das Programmverzeichnis und auf den Zweig des Programms in der Regstrierung Rechte vergibt. Die User haben dann nur Benutzerrechte, die Anwendungen funktionieren aber trotzdem. Ist nur ein wenig Arbeit für den Admin :-)

Als kleine Hilfe für die Rechtevergabe: Falls möglich testen, ob die Programme unter Windows NT 4.0 mit Benutzerrechten laufen, und sich hier die jeweiligen Rechte ansehen. Windows 2000 und XP sind nämlich mit der Rechtevergabe etwas strenger als NT 4.0, daher funktionieren viele für NT 4.0 geschriebenen Programme unter 2000 und höher nur mit Admin-Rechten.

MfG

Stareagle

bei Antwort benachrichtigen
GarfTermy Mr-Durden „Windows O/S - Installation generell verbieten“
Optionen

"...In unserem Betrieb haben wir ein paar Laptop User. Diese haben Administratorenrechte auf dem PC. Leider kommt es immer wieder vor, dass User Fremdsoftware installieren..."

lösungsansatz?

blackice pc protection installieren, application protection an, dann jede softwareänderung verbieten und blackice versteckt laufen lassen

ergebnis?

es läßt sich keine software mehr installieren.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Rika Mr-Durden „Windows O/S - Installation generell verbieten“
Optionen

@MaxPayne: Administatoren haben nicht zwnagsläufig alle Rechte, sie können sich nur alle Rechte verschaffen... von daher gibt's leider keinen vollständigen Lösungsansatz.

@Mr-Durden:
Unter Windows XP gibt es die Softwarerestriktionen, die auch ein defaultmäßiges Verbot + Ergänzung von Einträger per Whitelist bieten. Aber wie shcon gesagt, mit Amdinistratorrechten kann man das ahlt immer umgehen.

@garftermy: Merkbefreiung ist keine Lösung für sein Problem, sondenr nur für dich. Bei deiner Lösung braucht man jedenfalls keine Adminrechte um sie zum umschiffen, von der zusätzlichen Fehleranfälligkeit durch den unnützen Code mal ganz zu schweigen.

bei Antwort benachrichtigen
GarfTermy Rika „@MaxPayne: Administatoren haben nicht zwnagsläufig alle Rechte, sie können...“
Optionen

@rika

du kleiner troll hast wohl gerade mal wieder lust auf spielen?

1. du kennst die software nicht
2. du kennst auch die funktionen nicht
3. innerhalb einer domäne gibt es mehr als einen admin
4. kann man mit berechtigungen eine menge anstellen - auch auf notebooks

gut - das mag für dich schon sehr unübersichtlich sein, aber mit mehrfachem lesen könntest du diese 4 punkte eventuell noch dieses jahr verstehen.

falls du nachhilfe im fach berechtigungen brauchst, melde dich, ich helfe für einen entsprechenden unkostenbeitrag gerne.

bis dahin - halte dich doch bitte einfach raus und spiel mit deinesgleichen.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Rika GarfTermy „@rika du kleiner troll hast wohl gerade mal wieder lust auf spielen? 1. du...“
Optionen

1. flasch.
2. Auch flachs. Ich im Gegensatz zu dir bin sogar fähig diese Funktionen zu evaluieren bzw. auch andere bisher gemachte Analysen zu betrachten.
3. Richtig, und? Du weißt offensichtlich aber nicht daß $Admin sich auch immer SYSTEM-Rechte verschaffen kann.
4. Richtig - nur was hat das mit der Software zu tun? Sie ändert keine Berechtigungen, sondern versucht sie zu verschleiern.

Ansonsten trolle du ruhig weiter mit deinem Glauben an Funktionen, die deine Software nicht hat bzw. gar nicht umsetzen kann. Vieles von dem, was du über sie behauptet, widerspricht ca. 20 Jahren Forschung in Sachen Betriebssystemarchitektur.

bei Antwort benachrichtigen
Mr-Durden Nachtrag zu: „Windows O/S - Installation generell verbieten“
Optionen

@stareagle
Du meinst also, in einem Verzeichnet die Restrictions auf vollen Zugriff setzen?
Ist auf jedenfall mal eine Gute Idee.

Notfalls muss ein User als Versuchskaninchen herhalten. Ein Admin ist ja immer bei uns da :)

Dank dir. Ich werde es auf jedenfall testen

@garftermy:

Ich werde mir dieses Programm anschauen.
Ist es Freeware? Enthält es irgendwelche Spyware o.ä. die für ein Netzwerk kritisch sein könnte?

Das was Rika sagt, kann aber ein Problem werden, sollte es der User irgendwie rausbekommen. Ich würde gerne das Problem ohne zusätzliche Software Lösung.

Werde aber diese Möglichkeit im Auge behalten :) Dank auch dir!

@rika:
Kannst du mir deinen Lösungsansatz genauer erklären?
Der hört sich unverschämt gut an :)

Wenn sich das Umgehen dieser Einstellung so "schwierig" wie das Öffnen und Finden der EInträge in der MMC gestaltet, dann hab ich schon gewonne *hehe*
Zumal die Leute nicht wissen, was die MMC ist *g*

bei Antwort benachrichtigen
Rika Mr-Durden „@stareagle Du meinst also, in einem Verzeichnet die Restrictions auf vollen...“
Optionen

Lokale Sicherheitsrichtlinie, Richtlinien für Softwareeinschränkung

1. Die Blacklist-Funktion ist unnütz - denn jede Regel gilt nur dann, wenn das Programm nicht verändert wurde (MD5-Hash) und noch an der gleichen Stelle liegt, ist also leicht umgehabr. Umgekehrt wiederum ist das vorteilhaft für die Whitelist-Funktion, weil die dann sicher funktioniert.

2. Es wird nicht alles gesperrt - Windows legt einige Ausnahmeregeln an, die alle für's Hochfahren benötigten Programme und DLLs zulässt.

3. Ebenso werden per Default nur .EXE und deren Äquivalente gesperrt, nicht aber DLLs, OCXs etc. - die muss man noch hinzufügen.

Ausführlicher dokumentiert ist das bei Technet,
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx
In einem Online-Artikel vom .NET Magazine gab's auch mal vom 'nem MSCE ein paar schöne Erklärungen bezüglich typischer Problemfälle.

bei Antwort benachrichtigen
GarfTermy Rika „Lokale Sicherheitsrichtlinie, Richtlinien für Softwareeinschränkung 1. Die...“
Optionen

1. falsch - du kennst die software nicht. (aber das wissen wir ja nun schon länger...)

2. falsch - siehe 1. ...windows "legt" keine regeln in der datenbank fest

3. programme werden in aller regel durch eine *.exe installiert und darum geht es hier primär

also?

jemand wie du rika, der patches als unnötig einstuft (wir erinnern uns an vergangene diskussionen), wer über software redet die er nicht kennt, der hat sich bereits disqualifiziert.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Rika GarfTermy „1. falsch - du kennst die software nicht. aber das wissen wir ja nun schon...“
Optionen

1. Ah ja, du willst also wissen was ich kenne oder nicht - aber du trollst ja schon länger und ignorierst fleißig die Grundlagen...

2. Doch, tut es, ansonsten würde Windows gar nicht mehr starten. Die Regeln werden intern definitiert und nur nicht nach draußen angezeigt, lassne sich aber über Änderung in der Registry sowohl anzeigen als auch ändern.

3. Ebenfalls falsch. SCR, OCX und BAT sind genauso kritisch, von Plugins und trojaner per DLL mal ganz zu schweigen...

Also, garftermy, der mich immer vollkommen falshc zitiert (siehe vorherigie Diskussion - Patches sind sogar sehr sinnvoll, aber nicht notwendig und auch nicht primäre Sicherheitsmaßnahme) - dein Argument trifft nur auf dich zu. Statt also dem werten OP hier irgendwelche sinnlosen Vorschläge zu unterbreiten und mich mit Falschaussagen diskreditieren zu wollen, trage deinen Streit doch bitte per eMail und vor allem auf sachlicher Grundlage aus.
Der gute Ullrich hat nicht umsonst so oft über dich gespottet... geh doch mal bitte nach de.comp.security.* und lasse dich etwas zurechtweisen, z.B. dir mal technische Grundlagen in Sachen Netzwerke und Betriebssysteme beibringen.

bei Antwort benachrichtigen
GarfTermy Rika „1. Ah ja, du willst also wissen was ich kenne oder nicht - aber du trollst ja...“
Optionen

"...siehe vorherigie Diskussion - Patches sind sogar sehr sinnvoll, aber nicht notwendig und auch nicht primäre Sicherheitsmaßnahme..."

na - hat sich wenigstens dieses fähnlein jetzt im wind gedreht.

zu 1. bis 3.

wenn du mit dieser softwarelösung erfahrung hättest, würden deine hinweise diesbezüglich fachliche fundiert sein. da dies aber nicht der fall ist, ist das nur mit unkenntis der software zu begründen.

das unterbinden einer installation hat erstmal nichts mit netzwerken zu tun, sondern mit dem effektiven einsatz verschiedener mittel - hier zb mit rechten und zusätzlicher software.

du wehrst dich mit händen und füssen gegen lösungen, die du selbst noch nicht angetestet hast. du wertest dinge, die du nicht kennst. du urteilst über leute, ohne selbst das nötige wissen zu zeigen...

du bist so schwach, das du sogar andere als zeugen deiner aussagen bemühen mußt - im speziellen ullrich. mit dem kannst du dich jedenfalls nichtmal ansatzweise messen...

damit diskreditierst du dich letztlich selbst.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
GarfTermy Rika „1. Ah ja, du willst also wissen was ich kenne oder nicht - aber du trollst ja...“
Optionen

"...siehe vorherigie Diskussion - Patches sind sogar sehr sinnvoll, aber nicht notwendig und auch nicht primäre Sicherheitsmaßnahme..."

na - hat sich wenigstens dieses fähnlein jetzt im wind gedreht.

zu 1. bis 3.

wenn du mit dieser softwarelösung erfahrung hättest, würden deine hinweise diesbezüglich fachliche fundiert sein. da dies aber nicht der fall ist, ist das nur mit unkenntis der software zu begründen.

das unterbinden einer installation hat erstmal nichts mit netzwerken zu tun, sondern mit dem effektiven einsatz verschiedener mittel - hier zb mit rechten und zusätzlicher software.

du wehrst dich mit händen und füssen gegen lösungen, die du selbst noch nicht angetestet hast. du wertest dinge, die du nicht kennst. du urteilst über leute, ohne selbst das nötige wissen zu zeigen...

du bist so schwach, das du sogar andere als zeugen deiner aussagen bemühen mußt - im speziellen ullrich. mit dem kannst du dich jedenfalls nichtmal ansatzweise messen...

damit diskreditierst du dich letztlich selbst.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
GarfTermy Rika „1. Ah ja, du willst also wissen was ich kenne oder nicht - aber du trollst ja...“
Optionen

"...siehe vorherigie Diskussion - Patches sind sogar sehr sinnvoll, aber nicht notwendig und auch nicht primäre Sicherheitsmaßnahme..."

na - hat sich wenigstens dieses fähnlein jetzt im wind gedreht.

zu 1. bis 3.

wenn du mit dieser softwarelösung erfahrung hättest, würden deine hinweise diesbezüglich fachliche fundiert sein. da dies aber nicht der fall ist, ist das nur mit unkenntis der software zu begründen.

das unterbinden einer installation hat erstmal nichts mit netzwerken zu tun, sondern mit dem effektiven einsatz verschiedener mittel - hier zb mit rechten und zusätzlicher software.

du wehrst dich mit händen und füssen gegen lösungen, die du selbst noch nicht angetestet hast. du wertest dinge, die du nicht kennst. du urteilst über leute, ohne selbst das nötige wissen zu zeigen...

du bist so schwach, das du sogar andere als zeugen deiner aussagen bemühen mußt - im speziellen ullrich. mit dem kannst du dich jedenfalls nichtmal ansatzweise messen...

damit diskreditierst du dich letztlich selbst.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Rika GarfTermy „ ...siehe vorherigie Diskussion - Patches sind sogar sehr sinnvoll, aber nicht...“
Optionen

1. Habe nie was anderes behauptet - nur du bist zu merkbefreit zum Lesen und Verstehen.

2. Ähm... eigentlich bist du es, der den Beweis schuldet, daß diese Software überhaupt funktioniert - und ja, ich kann dir sehr wohl beweisen, daß sie nicht funktioniert. Von SetWindowHookEx bis ShellExecute kann man alle API-Hooks klauen, DLLs injecten, Treiber dynamisch laden oder das Ding einfach abschießen - trivial zu umgehen.
Warum hast du das bei deiner Betrachtung der Software übersehen? Oder hast du nie eine Betrachtung gemacht?

Netzwerktechnische Sicherheit bietet es auch nicht, es war trivial sogar einen Schlumpf (Smurf-Attacke) sauber durchzuschleusen, von SYN-Floods, Refragmentation Header Rewrites und komplizierten Angriffe a la Urgent Pointer und DEX mal ganz zu schweigen...

Nun ja, eigentlich sollte sogar dir einleuchten, daß eine Software, die durch einen Buffer Overflow in der Verarbeitung von IRC-Verbindungsdaten exploitete werden konnte _obwohl weder eine zu analysierende IRC-Verbindung bestand noch irgendeine Verbindugn zu dem Source-Rechner des Exploit-Paketes bestanden_ schlicht und ergreifend kaputt ist.

Aber wie du schon sagtest, hat nix mit Netzwerken zu tun - naja, du hast das ja auch als erster erwähnt... interessant, willst du mir in die Schuhe schieben.

3. Ich kenne diese Software, und ich habe ihre Funktionen ausführlichst gegen typische und gegen trickreichere Angriffsszenarien evaluiert - und das Ergebnis ist katastrophal. Du hast das offensichtlich noch nicht gemacht - und du willst daher alle, die etwas gegen deine kaputte Software sagen, als unwissend diskreditieren?

4. Zeugen != Referenzen. Schau dir doch mal bitte die Studie vom BSI über NIDS an, schon allein die steht vernichtend gegen deine kaputte Software - von den wesentlich schlimmeren Ergebnissen einer tiefgreifenden Evaluierung meinerseits mal ganz zu schweigen.

Du willst mich also dafür diskreditieren, daß ich die schwächeren, aber schon längst ausreichenden Aussagen zuallererst verwende...

5. Der liebe Ullrich ist vor allem eine Diskreditierung deinerseits - und in jedem Falle eine härtere als er für mich selbst in deinen kühnen Vorstellungen nur sein könnte. Von daher ist das genau gar kein Argument in dieser Diskussion.

Sprich: Das was du hier abziehst, ist wirklich reine Trollerei und Unwissenheit über deine eigene Software.

bei Antwort benachrichtigen
GarfTermy Rika „1. Habe nie was anderes behauptet - nur du bist zu merkbefreit zum Lesen und...“
Optionen

rika...

deine texte werden immer länger, nur fehlt der verwertbare inhalt.

ich habe keine lust auf sinnlose diskussionen mit dir. du hast deine meinung, ich habe meine.

zur wiederholung: wie verhindert man eine installation auf einem notebook.. ? ich habe einen lösungsansatz - du NICHT.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Rika GarfTermy „rika... deine texte werden immer länger, nur fehlt der verwertbare inhalt. ich...“
Optionen

Die Diskussion wird deshalb sinnlos, weil du rumlügst, falshc zitierst und dich der technischen Grundlagen entbehrst.
Deshalb nochmal: Oben habe ich eindeutig einen zuverlässig funktionierenden und bewährten Lösungsvorschlag genannt, nämlich die Softwarerestriktionen von Windows XP. Und ich habe auch etwas weiter unten erläutert, warum deine Lösung eben nicht funktioniert und sogar das System negativ beeinträchtigt.

bei Antwort benachrichtigen
GarfTermy Rika „Die Diskussion wird deshalb sinnlos, weil du rumlügst, falshc zitierst und dich...“
Optionen

"...dich der technischen Grundlagen entbehrst..."

bitte was? flüchtest du jetzt in´s kauderwelsch?

wie lustisch...

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Rika GarfTermy „ ...dich der technischen Grundlagen entbehrst... bitte was? flüchtest du jetzt...“
Optionen

Eher du.

Deshalb für dich zum Mitschreiben:

Application Control umfasst die Kontrolle über ein API.

Die Annahme, daß irgendeine Software eine hinreichende Application Control hätte, keine Zugriffsrechteverwaltung des Kernels verwendet und zudem noch deutlich kleiner als Windows sei, ist gelinde gesagt totaler Schwachsinn.

bei Antwort benachrichtigen
GarfTermy Rika „Eher du. Deshalb für dich zum Mitschreiben: Application Control umfasst die...“
Optionen

ja rika...

nun besorge dir schon die software und teste es selbst. installation ist für anwender nicht mehr möglich.

darum geht es hier. wenn du das nicht verstanden hast, dann antworte doch einfach nicht mehr.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Rika GarfTermy „ja rika... nun besorge dir schon die software und teste es selbst. installation...“
Optionen

1. Habe ich.
2. Habe ich - du wohl nicht.
3. Doch, ist trivial. Schon mal daran gedahct daß es mehr als nur .exe gibt? Mit .html und .ocx war's jedenfalls kein Problem jede beliebige Software zu installieren...
4. Darum geht's hier schon seit Ewigkeiten und du hast es immer noch nicht verstanden.

bei Antwort benachrichtigen
GarfTermy Rika „1. Habe ich. 2. Habe ich - du wohl nicht. 3. Doch, ist trivial. Schon mal daran...“
Optionen

3. die allermeisten installationsroutinen basieren auf einer "setup.exe" oder "install.exe"

rika - du wirst es NIE begreifen dases mehr als eine lösung gibt.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Rika GarfTermy „3. die allermeisten installationsroutinen basieren auf einer setup.exe oder...“
Optionen

Deine Lösung ist keine Lösung, weil sie nicht zuverlässig ist und es hierbei auch um Zuverlässigkeit geht. - Gibt sicherlich mehr als eine Lösung, deiner ist aber _keine_.

Software Restriction Policies hingegen sind zuverlässig, weil sie von jemandem erzwungen werden, der über den Admins steht - nämlich SYSTEM, und sich SYSTEM-Rechte zu beschaffen ist alles andere als trivial, und wird durch den Einsatz der SRPs wiederum verwehrt.

bei Antwort benachrichtigen
GarfTermy Rika „Deine Lösung ist keine Lösung, weil sie nicht zuverlässig ist und es hierbei...“
Optionen

"...deiner ist aber _keine_. ..."

das zu entscheiden überläßt du bitte dem mündigen user - der ist sicher schon erwachsen genug ohne deine arrogante bevormundung zu leben.

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Rika GarfTermy „ ...deiner ist aber _keine_. ... das zu entscheiden überläßt du bitte dem...“
Optionen

Normalerweise überlasse ich das der Realität, normalerweise ist die für mich und den mündigen User die gleiche... Was das mit Bevormundung oder Arroganz zu tun haben soll verstehst aber offenbar nur du - von daher solltest du dich auch nicht wundern, daß ich dein Tun als Getrolle betrachte, du lieferst ja genug Grund...

bei Antwort benachrichtigen
GarfTermy Rika „Normalerweise überlasse ich das der Realität, normalerweise ist die für mich...“
Optionen

na rika...

wirst du jetzt unsachlich, fällt dir an argumenten nichts mehr ein?

armes rika.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
Rika GarfTermy „na rika... wirst du jetzt unsachlich, fällt dir an argumenten nichts mehr ein?...“
Optionen

Schau mal neun Beiträge weiter oben - und dann überdenke nochmal wer hier mit Unsachlichkeit angefangen und wer trotzdem mit Sachlichkeit kotern konnte.

bei Antwort benachrichtigen
Rika GarfTermy „ja rika... nun besorge dir schon die software und teste es selbst. installation...“
Optionen

Noch simpler: Der User beendet das Programm einfach. Fertig, umgangen.

bei Antwort benachrichtigen
stareagle Mr-Durden „@stareagle Du meinst also, in einem Verzeichnet die Restrictions auf vollen...“
Optionen

Hallo Mr-Durden,

Verzeichnis und vor allem wichtig in der Registierung! Da kommen viele Probs her. Event. kannst du ja mal posten welche Software die Probleme macht, dann könnte wir dir event. noch besser helfen.

MfG

Stareagle

bei Antwort benachrichtigen
xafford Mr-Durden „Windows O/S - Installation generell verbieten“
Optionen

Benutzer sollten generell keine Administratorenrechte haben, gerade nicht auf Laptops. Hauptbenutzer sollte für alle Alltagsaufgaben absolut ausreichen. Ansonsten brauchst Du keine Fremdsoftware wenn ihr eine Domäne nutzt, hier kannst Du per Richtlinien sehr granular Dinge verbieten und erlauben.
Schau Dir also (falls ihr eine Domäne nutzt) domänenweite Richtlinien genauer an.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
xafford Nachtrag zu: „Benutzer sollten generell keine Administratorenrechte haben, gerade nicht auf...“
Optionen

PS: Ich hoffe die User sind wenigstens nur lokale Administratoren und keine Domänenadmins ;o)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Mr-Durden Nachtrag zu: „Windows O/S - Installation generell verbieten“
Optionen

@xafford
Das Problem liegt, darin, dass die Richtlinien weltweit gelten. :(

Aber sei sicher. Domänen-Admins sind sie nicht. Die machen mir noch eigene User Profile *g*

bei Antwort benachrichtigen
xafford Mr-Durden „@xafford Das Problem liegt, darin, dass die Richtlinien weltweit gelten. : Aber...“
Optionen

Was meinst Du damit, daß die Richtlinien weltweit gelten? Die Äußerung versteh ich nicht so ganz. Habt ihr weltweit Niederlassungen in denen diese Gelten sollen, oder wie? ;o)

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
Mr-Durden Nachtrag zu: „Windows O/S - Installation generell verbieten“
Optionen

Also, Leute, sobald ich aus dem Urlaub zurück bin werde ich mal ein paar test am lebenden Beispiel machen. Bis hier hin schonmal Danke für eure Hilfe und den Link :)

bei Antwort benachrichtigen