Ich habe ein Netzwerk mit 150 Clients (NT, 98, 95). Durch einen kleinen Zwischenfall bin ich nun gezwungen die Clients mehr einzuschränken. Ich will, daß kein User (außer Admin) Software installieren und die Konfiguration verändern kann. Ich habe das Ganze schon mit Poledit versucht, jedoch ohne irgendeinen Erfolg. Die normalen Benutzerrechte unter NT geben das ja anscheinend auch nicht her.
Hilfe wäre toll!
Mit den normalen Bordmitteln kannst du das Ziel schon erreichen, es ist aber ein enormer und nicht oft zu rechtfertigender Aufwand. Das Problem ist, dass du nicht den Aufruf bestimmter Programme verbieten kannst. Es geht nur umgekehrt, du musst dem normalen User den Aufruf aller Programme verbieten, und dann explizit die freigeben, die er nutzen darf (Diese und alle folgenden Aussagen beziehen sich ausschliesslich auf NT).
Ich treibe diesen Aufwand überall dort, wo in drei Schichten gearbeitet wird, und die Anwender nachts oft viel Zeit zum spielen haben.
Zunächst muss im Benutzermanager der Workstation genau ein User definiert werden, der als einziger das Recht der lokalen Anmeldung hat (abgesehen vom admin). Diesen User meldest du an.
Dann startest du von einem Server den Systemrichtlinieneditor (poledit) und verbindest zur WS.
Unter ‚Lokaler Benutzer -> System -> Zugriffsbeschränkungen‘ aktivierst du ‚Nur zugelassene Anwendungen für Windows ausführen‘ und klickst unten auf ‚Anzeigen‘. In der folgenden Liste müssen dann alle Programme eingetragen werden, die der Anwender ausführen darf, z.B. winword.exe; excel.exe; netscape.exe… Bei mehreren Usern musst du diesen Vorgang für jeden einzelnen wiederholen.
Um ein sauberes Feintuning hinzubekommen, ist es sinnvoll, sich mal ein, zwei Tage lang intensiv mit poledit zu befassen.
Wie gesagt, der Aufwand ist nur selten zu rechtfertigen. I. d. R. gehe ich daher anders vor: Diskettenlaufwerke (welch mittelalterlicher Schrott) werden grundsätzlich nicht mitgekauft, wo noch welche eingebaut sind, werden sie im BIOS abgehängt. CD-Laufwerke kommen in einen, max. zwei Rechner je Abteilung. Weitere Ressourcen im Netzwerk sind für die Anwender in aller Regel gesperrt.
Das wichtigste aber ist eine Betriebsanweisung, die es allen Mitarbeitern untersagt, Software zu installieren oder z. B. aus dem Internet downzuloaden.
Wer trotzdem Scheisse bauen will, kann dies natürlich nach wie vor tun. Aber alle weiteren Massnahmen wären zu aufwändig und würden die Benutzer zu stark einschränken. Insbesondere ist es natürlich nicht die Aufgabe des Admins, einen Überwachungsstaat einzuführen.
Hallo Schorsch, danke für die Antwort!
Ich treibe diesen Aufwand überall dort, wo in drei Schichten
gearbeitet wird, und die Anwender nachts oft viel Zeit zum
spielen haben.
Ich werde dies wohl an allen Rechner mach, an denen unsere Praktikanten sitzen, die haben ab und zu mal Zeit und kennen sich damit auch noch aus …
Dann startest du von einem Server den Systemrichtlinieneditor
(poledit) und verbindest zur WS.
Achso vom Server aus - guter Tipp
Wer trotzdem Scheisse bauen will, kann dies natürlich nach wie
vor tun. Aber alle weiteren Massnahmen wären zu aufwändig und
würden die Benutzer zu stark einschränken. Insbesondere ist es
natürlich nicht die Aufgabe des Admins, einen
Überwachungsstaat einzuführen.
Die Aufgabe ist aber, daß Netz funktionstüchtig zu halten. Wenn das nicht mehr geben ist, dann mache ich mir die ganze Arbeit gern!
Hallo Robert,
wieso legst du die pol nicht in das Replikationsverzeichnis des Servers und nennst sie ntconfig.pol um. Dann gilt sie für alle user oder computer, wie du es willst.
Gruss
Stefan
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hi Stefan,
das habe ich ja auch als erstes versucht, aber es funktionierte nicht so richtig 
(:
wieso legst du die pol nicht in das Replikationsverzeichnis
des Servers und nennst sie ntconfig.pol um. Dann gilt sie für
alle user oder computer, wie du es willst.Gruss
Stefan