PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Win2k8 - W2K8R2 - Installation zu neuer Software verbieten


Haarmann
2011-11-03, 19:35:48
Wir alle kennen das Problem von Bananenprodukten - reift beim Kunden.

Nun soll dies Teil, ein Anwendungsserver, kein Fileserver oder so, schlicht die Installation irgendwelcher ungetesteter Software in einem bestimmten Verzeichnis, "abwehren".

Es soll also die Anwendung des Servers vor Müll geschützt werden. Fällt da wem eine Lösung dazu ein?

PatkIllA
2011-11-03, 19:47:02
Für normale Installation braucht man doch schon Adminrechte.
Ansonsten hab ich zuerst an Softwareeinschränkung gedacht, die verhindert, dass nicht bereits installierte Software erst gar nicht ausgeführt werden kann.

Haarmann
2011-11-03, 19:57:21
PatkIllA

Es geht dabei eigentlich um Updates für die eigentliche Anwendung. Diese neigen dazu immer Ärger zu bereiten, solange bis man sie auch testet.

Dem, der das installierte, kann ich die Adminrechte grundsätzlich nicht vorenthalten.

Diese Person ist jedoch nicht zu versiert in Windows - von daher ist schon das Rechtemanagement von NTFS ein Problem. Es soll jedoch nicht verhindern, das sinnvolle Updates mit getesteter Software gefahren werden.

Nur Tests dauern nunmal etwas...

Die Updates kommen quasi 0-day rein - frisch ab Compiler - und genau so mies sind se jeweils auch.

Lokadamus
2011-11-03, 20:01:08
mmm...

Im Prinzip suchst du so was wie WSUS nur eben für eine x- beliebige Software, wo du sagen kannst, dieses Update darf verteilt werden und dieses soll zurückgehalten werden.
Ich kenne in diesem Sinne keine Software, wo das mit x- beliebiger Software geht.

Als Workaround fällt mir nur ein, dass die Updates von der Person selber nicht mehr aufgerufen werden dürfen, aber wenn ich dich richtig verstehe, soll dies geschehen.

Pana
2011-11-03, 20:22:14
Dafür baut man eine Teststellung auf. Solchen Mitarbeitern gibt man auf keinen Fall einen administrativen Zugang auf ein Produktivsystem.

Haarmann
2011-11-04, 08:15:03
Lokadamus

Wie heissts so schön - der, der die Dinger testen sollte, tuts einfach nicht und installiert den Rotz dann einfach mal - Testlos. Natürlich auf scharfgestellten Umgebungen... und am Ende darf dann der Rest den Mist ausbaden.

Der Rest hat die Nase nun voll ;).

Exxtreme
2011-11-04, 08:41:42
Dem Tester die Admin-Rechte entziehen. Plain & simple. Oder er darf das was er verbrochen hat wieder reparieren.

jorge42
2011-11-04, 09:33:41
ich kenne keine Methode einem User mit Adminrechten zu verbieten eine BESTIMMTE Software zu installieren, ohne ihn daran zu hindern andere Software oder Windows Updates zu installieren. Ihm lediglich die Schreibrechte in DIESEM Ordner zu verweigern würde zwar schon helfen, aber a) weiß die Installationsoftware davon nichts (und wenn sie schlecht programmiert ist, fängt sie an, Änderungen vorzunehmen und merkt zu spät, dass sie dort nicht schreiben kann) und b) kann er sich mit Adminrechten problemlos den Zugriff holen.

Eine so unbedarfte Person würde ich nicht mit Adminrechten auf einen produktiven Server loslassen, das scheint aber eher ein politisches Problem zu sein.

P.S. es gibt natürlich Zusatz Software wie Secusurfe oder Appsense mit der man so was in den Griff bekommen kann, aber das eher dafür gedacht die User unter Kontrolle zu haben und nicht einen Amok-laufenden Admin :)

Haarmann
2011-11-04, 11:22:07
Exxtreme

Die Probleme treten ja nie sofort auf... und wenn sie auftreten, dann ist die Person immer weg - sprich - grosse Orgien werden bevorzugt vorm Urlaub durchgezogen.

Dem möchte ich ein Ende setzen...

jorge42

Die beiden Teile schaue ich mir mal an ...

Mal sehen ob das ginge.

jorge42
2011-11-04, 11:28:25
jorge42

Die beiden Teile schaue ich mir mal an ...

Mal sehen ob das ginge. die beiden die ich genannt habe, sind aber nicht kostenlos (sondern teuer :-) ), und hierfür "mit Kanonen auf Spatzen geschossen".
Exxtreme

Die Probleme treten ja nie sofort auf... und wenn sie auftreten, dann ist die Person immer weg - sprich - grosse Orgien werden bevorzugt vorm Urlaub durchgezogen.

Dem möchte ich ein Ende setzen...
sprich mit dem Personalverantwortlichen oder dem verantwortlichen IT Leiter, so was kannst du nicht mir Software richten...

Rajin the troll
2011-11-04, 11:30:29
Rechtetechnis einen Admin einzuschränken ist ... schwierig.

Was ich weis ist, dass es einen Regesryschlüssel gibt um die installation von Patches via Windows installer zu verbieten. Bringt natürlich bei nem Admin nicht viel, da er das einfach wieder zurückändern kann.

Ansonsten wie weiter Oben schon mal jemand gesagt hatt, das Thema Softwareeinschränkungen. Das ist zwar ein sehr komplexes Thema in das man viel Arbeit reinstecken muss, aber man kann ohne Schwierigkeiten auch nur bestimmte softwareversionen zulassen.

Am Ende des Tages klingt das aber eher nach einen Organisatorischem/Politischem Problem bei euch. Am besten den Chef mal dazu bringen mal ne klare Ansage u machen und anschliesend die Testprozesse dokumentieren wie ihr sie haben wollt und dann auch so einsetzen.

Haarmann
2011-11-06, 07:38:32
jorge42

Ich schiesse da ausnahmsweise gerne mal mit einer Kanone drauf ;).

Das doofe Gesicht will ich vor allem sehen, wenn die Meldung kommt.

Rajin the troll

Das ist eher ein Problem der Art - loswerden kann man wen nicht -> wird ausgenutzt.

Acid-Beatz
2011-11-06, 08:53:00
Hey,
wie groß is besagtes Netz denn?
Ansonsten bietet sich unter Umständen eine Management-Software wie Altiris an, du kannst als erstes deine Patches Testen und wenn sie taugen, dann verteilst du sie per Altiris auf den Clients.
Sie verhindert meines Wissens nach allerdings auch nicht, dass jemand manuell Patches installiert. Das müsste man hald dann mal mündlich klären ...


Greez

P.S: Auch nicht billig das Ganze aber ich denk mal, dass es da je nach Clientzahl unterschiedliche Lizenzen gibt.

Lokadamus
2011-11-06, 09:36:38
Sie verhindert meines Wissens nach allerdings auch nicht, dass jemand manuell Patches installiert. Das müsste man hald dann mal mündlich klären ...mmm...

So weit ich es verstanden habe, ist das aber genau sein Problem. Jemand soll die Patches testen und wenn sie gut sind, freigeben. Dadurch werden sie ohne weiteres Eingreifen verteilt. Hier ist allerdings das Problem, dass die Patches nie getestet werden.
Eigentlich müsste eine kleine Gruppe gegründet werden, die die Patches testet und das OK gibt. Danach dürfte die Verteilung erst erfolgen.
Allerdings gibt es hier wieder das Problem, dass meistens nicht sinnvoll getestet wird und nachher einfache Grundfunktionen nicht funktionieren, obwohl der Test dieser Funktionen ein paar Minuten in Anspruch genommen hätte.

Kurz gesagt, Softwareseitig kann dieses Problem nicht abgefangen werden. Da braucht der Tester nur sagen "Jo, sieht toll aus" obwohl er nichts gemacht hat und die Sachen werden verteilt.

Acid-Beatz
2011-11-06, 10:54:10
Vielleicht sollte Haarmann noch mal genau erklären, wo jetzt was installiert wird und wo nicht ;)
Für mich hört sichs so an, wie wenn der Kerl die Dinger eben ohne vorheriges Testen einfach verteilen lässt, man ihm die Admin-Rechte auf dem Server aber nicht entziehen kann.

Bzw in meiner vorherigen Antwort bin ich eher davon ausgegangen, dass die Person mehr oder weniger händisch alles auf den Clients installiert.

Greez

P.S: Letzte Woche meinte bei uns in der Firma erst einer (mit nem kleinen Augenzwinkern): "Prinzipiell keine Adminrechte für unter 20 und über 40-Jährige" :)

Rente
2011-11-06, 11:06:16
Für mich stellt sich da die Frage ob der User dringend Domänen-Admin (so hört es sich an) sein muss, oder etwas eingeschränkte Adminrechte da nicht vielleicht schon reichen würden.

Wofür braucht der Herr denn diese Berechtigungen?

Ich bin übrigens auch strikt dagegen, das User in irgendeiner Form mehr Adminrechte als lokal auf ihrem Rechner bekommen.

Haarmann
2011-11-06, 11:45:32
Wer redet denn von einem Server?

Wer redet denn von Clients?

Wer redet von nur einer Umgebung? Es geht, wie so oft, eben um verschiedene und diverse Aufbauten - deswegen ist das mit den Adminrechten auch so ne Sache.

Das ist, ERP typisch, sehr heterogen und man betreut viele Systeme, aber man werkelt selten alleine auf den Systemen rum.

Ich will bei den nun von mir revidierten Installationen einfach den klassischen Warnschuss vor den Bug einsetzen.