Modo listagem | Modo Linear

HazorZiN · 10-10-2011, 14:36

Galera, é o seguinte, tenho um cliente que preciso bloquear a instalação dos programas pelo servidor, pois já tirei as máquinas como administrador e o sistema deles, precisa ter acesso de administrador local se não o sistema não funciona. Alguem sabe alguem maneira de bloquear todo tipo de instalação nas máquinas via GPO? Eu fiz um bloqueio do Windows Installer e do msiexec.exe, fiz o teste de instalação com o Skype(bloqueado);CCleaner, Malware, firefox (tudo liberado). Alguem poderia me ajudar?

nioxys · 10-10-2011, 15:07

Olá

Encontrei isto vê se dá.

HazorZiN · 10-10-2011, 15:17

As máquinas clientes são windows 7 Pro (só para constar, já que eu não deixei especificado a cima). Você já usou alguma vez esse AppLocker? Ele funciona na versão PRO?

nioxys · 10-10-2011, 15:24

Eu nunca usei.

Citar: AppLocker is only available in Enterprise and Ultimate, but you can manage it from Windows 7 Professional but not apply AppLocker policies to those machines. To be able to control the AppLocker feature and when using GPO in general I suggest that you use the server to roll it out to the clients.

Parece que não funciona.

HazorZiN · 10-10-2011, 15:30

AppLocker precisa do hash dos arquivos, eu não quero e nem posso e nem tem como eu saber todos os hashs possiveis de instaladores que existe. Precisava bloquear por GPO isso.

nioxys · (Esta mensagem foi modificada pela última vez a: 10-10-2011 15:56 por nioxys.)

Pois, mas como eles estão no sistema como Admin Local é mais complicado.

Vê o seguinte,

Citar:A restrição de software irá bloquear a execução de determinado software.

Se os usuários estão como administradores da estação isso fica complicado de gerenciar uma vez que o admin local tem acesso completo a estação. O mais correto seria que seus usuários não fossem administradores locais.
Mas o que dá para fazer é uma "jogadinha", por exemplo, via GPO você pode impedir que os usuários da rede tenham acesso à pastas como C:\Arquivos de programas C:\Windows\System32 pois assim o software não poderá ser instalado uma vez que não tem acesso a essas pastas para poder copiar os arquivos.

Porém é necessário criar um bloqueio para que esses usuários não possam alterar as permissões nessas pastas pois se "ganharem" acesso poderão realizar as instalações.

Bom essa é uma das maneiras!

Neste link vocÊ encontra a explicação para fazer a restrição via GPO:
http://support.microsoft.com/default.aspx/kb/323525

A outra forma é:

Vc pode fazer o seguinte:

Crie uma GPO para o site em questão, edite e configure a seguinte opção:

Computer Configuration/Windows Settings/Security Settings/Restrict Groups/Add Group/

Adicione o grupo Adminitrators ou Administradores, dependendo do seu ambiente possuir vários idiomas adicione conforme a necessidade, no grupo adicione os usuários que vc devem ter esse privilégio.

HazorZiN · 10-10-2011, 17:32

Vou ver se consigo fazendo assim... Obrigado pela atenção.