gpo ile kulanıcının program kurmasını engelleme nasıl yapılabilir?

Merhaba.

Kullanıcılarınızı User yetkisine çekin.

Zaten kullanıcı user....

çoğu özellik kısıtlı mesela network ayarlarını değiştiremiyor.

Yani Administrator grubunda değil.

Merhaba, 

Kullanıcılar localde hangi yetkiye sahip?

Client localinde sadece bir tane administrator kullanıcısı var onda ad bağlantılarını ayarladıktan sonra AD deki kullanıcılardan  birisi ile giriyorum.

Client tarafında tek kullanıcı var.

Soruyu şöyle sorayım AD kullanıcısı olarak girdiğiniz kullanıcı localde administrator grubunda mı?

Domain Users grubunda..

Domain users local bir grup değildir ama.

Kullanıcın Domain Users gurubuna üyedir ama localde de administrators yada power users grubuna üyedir...

Yoksa Users (local/domain) grubu üyeleri program kuramaz.

Bunu nasıl kontrol ederim yada nasıl user grubuna alırım.

Tarif edermisin.

PC üzerinde

Bilgisayarım> Yönet> yerel kullanıcı ve gruplar> gruplar  kısmına geliyoruz.

administrators ve power users grubu özelliklerinde kullanıcımız yada domain users grubu varmı kontrol edelim.

Client üzerinde Admin ile açarak kullanıcıyı; localde users grubuna aldım ama değişen bir şey olmadı?

Kontrol etmenizi istediğim üyelikler için cevap alamadım ?

Bir önceki mesajda yazmıştım.

Administrators ve Power Users grubunda kullanıcım ve Domain Users yoktur.

Sadece Users grubunda Domain Users vardır.

Bülent Bey ;

Siz localde kullanıcıya Administrator yetkisi verdiğinizde o kullanıcıya tüm hakları vermiş olursunuz. Kullanıcı istediği her şeyi yapabilir önüne geçemezsiniz. Kullanıcınızı local grups taki Administrator ve Power User gruplarından çıkarttığınızda kullanıcınız Domain User olacağından yani kısıtlı kullanıcı olacağından program kurma kaldırma, IP adresi değiştirme, Saat ayarlarıyla oynama, izni olmayan yerlere girme v.s gibi işlemleri yapamayacaktır.

Bir önceki mesajda yazmıştım.

Administrators ve Power Users grubunda kullanıcım ve Domain Users yoktur.

Sadece Users grubunda Domain Users vardır.

Peki etki alanında oturum açtığımızdan eminmiyiz.? Local bir hesap ile localde oturum açıyor olabilirmisiniz.

Ayrıca bu kullanıcı diğer yetki gerektiren işlemleri de yapabiliyor mu? Yeni bir local account yaratmak. sistem saatini değiştirebilmek gibi.

Etki alanından bağlantı kuruyorum.

Diğer tüm engellemeler çalışıyor. Ağ ayarlarını, sistem tarih saatini vs... bunları değiştiremiyor ama

program kurabiliyor. C: sürücüsüne program kuramıyor yada şöyle diyebilirim belgelerim kısmına yada D: ve E: sürücülerine program kurabiliyor.

Bilgisayar üzerindeki tüm sürücülerin security tabında(sürücü üzerin sağ tuş özellikler) kullanıcının adı var ise onu silin.Birde böyle deneyin.

Etki alanından bağlantı kuruyorum.

Diğer tüm engellemeler çalışıyor. Ağ ayarlarını, sistem tarih saatini vs... bunları değiştiremiyor ama

program kurabiliyor. C: sürücüsüne program kuramıyor yada şöyle diyebilirim belgelerim kısmına yada D: ve E: sürücülerine program kurabiliyor.

 

Bazı programlar bu şekilde kurulabilir.

ilk senaryo: Bir program düşünün. Bu programın setup dosyasının yaptığı iş, içerisindeki uygulama dosyalarını sizin gösterdiğiniz dizine extract etmek. Hiçbir registry kaydı yapmıyor yada dll register etmiyor. Bu programın D: yada E: gibi yazma yetkisi olan sürücülere kurulabilmesi normal. Çünkü ortada bir kurulum yok, copy/paste var.

ikinci senaryo: Bir program düşünün. By programın setup dosyasının yaptığı iş, içerisindeki uygulama dosyalarını extract etmek, gerekli registry anahtarlarını yaratmak, system32 altına dll atıp register etmek vs.. yani yetki gerektiren işleler yapmak. İşte bu program kurulum için yetki ister.

Sanırım sizinki ilk senaryo. Örneğin MS Office. Domain Users üyesi kullanıcınız bu programı kurabiliyor mu?

Haklısınız ilk maddede dediğiniz gibi sadece registry e kayıt yapmayan programları kuruyor.

Teşekkürler