All posts by Andy (5)

topic: negativ liste  in the forum: SuRun Wunschliste
Andy #1
Member since Mar 2009 · 5 posts · Location: D
Group memberships: Mitglieder
Show profile · Link to this post
Hallo Kay,

du meist sicher die einstellung: "Benutzer darf nur fesgelegte programme starten" wo ich ein Programm angebe
und die start/verbots Erlaubnis?
aber bedeutet das das wenn ich einigen Programmen das Admin Starten verbiete das alle anderen per Surun
mit erhöhten rechten gestartet werden dürfen??? oder darf ich nur für die festgelegte Programme start/stop
erlaubnis geben!?

was ich wollte war die funktion von div. Dsl-Routern mit MAC Filtern, zb:
man gibt eine Mac rein und sagt: du darfst nicht raus dafür aber alle anderen, oder
eine mac und sagt: du darfst raus aber alle anderen nicht.

So wie ich die Funktion von mittlerweile Surun 1.2.0.6 verstanden habe kann ich eine Liste editieren und programmen
start/stop erlaubnis geben, das würde den verwaltungs aufwand erhöhen, denn ich müsste praktisch elendlange liste
mit "darf/darf nicht" pflegen.

.....oder heisst das wenn ich zb. IE verbiete das ich automatisch alle nicht aufgeführten Programme mit erhöhten rechten starten darf!?
oder soll ich "benutzer darf nur die festgelegte..." nicht aktivieren? ist dann die liste trotzden wirksam?

Fragen über Fragen.... :)
Ich denke, also bin Ich.
topic: negativ liste  in the forum: SuRun Wunschliste
Andy #2
Member since Mar 2009 · 5 posts · Location: D
Group memberships: Mitglieder
Show profile · Link to this post
In reply to post ID 2069
ich habe version 1205 noch und da habe keine möglichkeit des admin verbots gefunden.
es ist nähmlich so:
ich kann programme in die Liste der erlaubten eintragen, oder ich kann "fast alles" erlauben und nur gezielte
programme verbieten.
sicher macht es an einem PC keinen aufwand "erlaubte" liste zu pflegen, aber an mehreren verbietet man lieber installationen von allerhand, erlaubt "alles" was da ist und verbietet bestimmte, zb. XP board programme und werkzeuge.
Da ich Surun per msi (und auch andere programme) verteile wäre es von vorteil immer die gleiche verbots liste mitzugeben.
Ich denke, also bin Ich.
topic: negativ liste  in the forum: SuRun Wunschliste
Andy #3
Member since Mar 2009 · 5 posts · Location: D
Group memberships: Mitglieder
Show profile · Link to this post
Subject: negativ liste
hallo Kay,

ist es möglich dem programm eine Negativ Liste zu spendieren!?
so auf die art wie jetzt: "diese programme immer als admin starten" nur "diese programme auf keinen fall mit admin rechten starten" um dem benutzer die möglichkeit zu nehmen zb. IE oder Firefox, Explorer oä so zu missbrauchen?
bzw  computersicherheit gefährden.

andy.
Ich denke, also bin Ich.
topic: kleine Verbesserungswünsche und installations Tipp! (nur ein Paar dinge die ich gerne hätte......)  in the forum: SuRun Wunschliste
Andy #4
Member since Mar 2009 · 5 posts · Location: D
Group memberships: Mitglieder
Show profile · Link to this post
In reply to post ID 1690
Hallo Kay,

Surun.msi habe ich mit Wininstaller LE auf einem "Sauberen" Rechner erstellt.
Habe Snapshot davor gemacht danach Surun installiert alle Häckchen gesetzt die ich habe wollte, und snapshot danach, aus der differenz wird dann ein Msi Packet gepackt.
dieses Packet wird in einer Freigabe "zb. meinserver\Install$" hinterlegt.
Danach erstelle ich eine GPO und weise dieses packet im "Software" zu, es wird auch vorm Anmelden installiert daher über "System konto".
In derselben GPO wird ein startscript erstellt mit der anweisung gruppe SuRunner zu erstellen, und weiter per "Eingeschränkte Gruppen" User dahin befördert.
Dies alles geschieht im Maschinenteil der GPO daher sind die Benutzerrechte der User zu mißachten, soweit klappt auch alles.

Zu ADM, es ist eine administrative vorlage um zb eigene Enstellungen per GPO zu verteilen, beispiel:

CLASS MACHINE
CATEGORY !!WindowsComponents

    CATEGORY !!WMPCat
        POLICY !!DisableSetupFirstUseConfiguration
            KEYNAME "Software\Policies\Microsoft\WindowsMediaPlayer"

            #if version >= 4
                SUPPORTED !!SUPPORTED_WMP9
            #endif

            EXPLAIN !!DisableSetupFirstUseConfigurationExplain
            VALUENAME "GroupPrivacyAcceptance"
            VALUEON  NUMERIC 1
                VALUEOFF NUMERIC 0
        END POLICY

        POLICY !!PreventWMPDeskTopShortcut
            KEYNAME "Software\Policies\Microsoft\WindowsMediaPlayer"


Eigens erstellte werden in die "GPO/Administrative Vorlagen" importiert (je nachdem Maschinen oder Userteil) und sind erst dann sichtbar wenn man die ansicht der GPO verändert. sonst sind nur die vollverwaltbare Adm's sichbar.

Man kann natürlich so eine wie oben stricken, oder eine wie ich die der "Holz und Hammer" methode entspricht und nur benötigte registry Parameter erstellt oder modifiziert oder löscht. (keinerlei IF Version abfragen etc...)
So könnte ich zb. in dem "HKLM/Software/Surun/optionen" die Programmpfade hinterlegen ohne das die Benutzer das merken.

Nun meine probleme:
Nach msi installation waren manche einstellungen/häckchen verschwunden bzw nicht mehr angehackt.
und "ausführen als" oder "Starte als admin" verraten dem anwender das da irgendwas im hintergrund läuft,
auch die PW abfrage erlaubt dem Benutzer sein eigenes kennwort einzugeben und schon kann er jegliches setup ausführen.

Man könnte Surun richtig per GPO steuern wenn in der Registry alle einstellungen abgebildet wären, zb.
 "HKLM/software/Surun/Optionen". Reg_SZ "c:\programme\ccleaner.exe" (programmpfade)
und natürlich die Einstellparameter.

Die GPO's kannst du in einer vollfunktionierenden DNS Domäne (2003 Active Directory) den Clients zuweisen, und wenn alles richtig ist, ist fast jede einstellung zu übermitteln.
Alternativ kann man auch eine erstellte Adm Vorlage auch bei einem einzel PC importieren und testen:
XP>ausführen>gpedit.msc>Computerconfiguration(maschinenteil)>administrative Vorlagen (rechtsklick ansicht/filterung>"nur vollständig.... aushacken)) dann rechtsklick vorlagen hinzufügen und eine eigene zb. surun.adm hinzufügen.
der Editor meckert wenn an der ADM was nicht stimmt. :)


Andy
Ich denke, also bin Ich.
topic: kleine Verbesserungswünsche und installations Tipp! (nur ein Paar dinge die ich gerne hätte......)  in the forum: SuRun Wunschliste
Andy #5
Member since Mar 2009 · 5 posts · Location: D
Group memberships: Mitglieder
Show profile · Link to this post
Subject: kleine Verbesserungswünsche und installations Tipp!
Hallo,
 mein erster Beitrag, nachdem ich dieses Programm ausprobiert hatte.
Der erste Eindruck ist gut und ich bin begeistert das sich einer die Mühe macht der Probleme anzunehmen.

betreiben eine Kleine "Übungsdomäne" daheim, meine Familie sind meine User und ich deren admin! (ach was sie zu leiden haben... :D)
Um zb. manche Programme bzw. Spiele zum laufen zu bringen habe ich bisher Berechtigungen per GPO vergeben (registry zweige und Ordner/dateien) was sehr zeitaufwendig war, bis ich beschloss dieses Kleine Proggi zu verteilen.
Also schnell MSI gestrickt einstellungen vergeben, datei auf den 2003'er Dom-Controller.
Das war der Erste Schritt! leider Fehl anzeige, MSI-Packet war zwar gut aber ich wollte auch nicht das meine DAU's was davon mitkriegen.
Der Zweite anlauf:
1 - Gpo erstellen
2 - MSI dem Computer zuweisen (softwareeinstellungen)
3 - startscript erstellen (bat mit nix anderem als "Net localgroup SuRunner /ADD /comment:"Programme als Admin starten"
4 - Benutzer per "eingeschränkte Gruppen" in die Gruppe SuRunner (die ja zuvor per script local erstellt wurde) reinschiessen!
!!!! aber Vorsicht !!! wurde die funktion "Eingeschränkte Gruppen" noch nie benutzt, kann es sein das andere benutzer oder Gruppen von lokalen PC's wieder herausgeschmissen werden!!! die auf anderen wegen da erstellt wurden!!!
Nun meine Probleme bzw. Wünsche:

1- Die einstellungen werden per MSI nicht komplett übermittelt, zb. Administrator als datei inhaber oder andere.

2 - starte Als Admin eintrag und Systemsteuerungssymbol bleiben sichtbar obwohl verstecken angeklickt ist.

3 - Möglichkeit die Programmpfade per ADM Vorlage in die Registry reinzuschiessen oder noch besser auch einstellungen per ADM zu übermitteln. (ADM kann sich jeder selber stricken :) )

4 - Proggi komplett auf "Stealth" zu stellen, Die anwender sollten nix vermuten nur Programme starten.

5- ansonsten Vielen Dank für Programm, und wenn ich was tun kann dann bitte.

Andy.
Ich denke, also bin Ich.
Close Smaller – Larger + Reply to this post:
Special characters:
Special queries
Go to forum
Not logged in. · Lost password · Register
This board is powered by the Unclassified NewsBoard software, 20150713-dev, © 2003-2015 by Yves Goergen
Page created in 58.2 ms (35.5 ms) · 64 database queries in 11.3 ms
Current time: 2019-08-18, 15:42:28 (UTC +02:00)