Windows XP Policy

Hallo Community,
mal eine Frage:
- kann ich Policies ohne AD erstellen/verwenden/verteilen ?

Imperial Joined: 15 Jun 2004 Posts: 11

You can create and use local policies on each workstation. Distribution is another question. Using tools such as secedit you can distribute security policies.There are other tools in the resource kit to set policies on each workstation, but if there are enough tools to replace GPO's in AD, that is a good question.

Melchior Joined: 13 Jun 2004 Posts: 131 Location: München

Die meistens Policies sind nur Registry Werte.

Ansonsten eben Secedit verwenden.

Gruß
Stefan

Magnum Joined: 16 Jun 2004 Posts: 33

Ja sind nur Registry Werte. Wir verwenden PrismDeploy als Softwareverteilung. Ist damit sehr einfach zu machen. Entweder Snapshot erstellen, Änderung durchführen, Paket erstellen.

Oder leeres Paket erstellen, Registry Werte im Paket anlegen.

Danach einfach eine Aufgabe an eine beliebige Gruppe verteilen, User, Rechnergruppe oder über ActiveUpdate mit einer Bedingung.

Geht auch Ereignis gesteuert, bei Login, Neustart usw.

Selbiges geht auch mit Desktop Konfigurationen.

Gibt´s da nähere Beschreibungen zu ?
Würd mich auch interessieren, wie bzw. wo andere ihre Kisten "dichtmachen",
damit der böse User nicht alles darf ;o)

Melchior Joined: 13 Jun 2004 Posts: 131 Location: München

Böser User?! Ob das die richtige Einstellung ist.

Ich bin der Meinung beim Einsatz von Windows XP und AD ist ein normaler User schon entsprechend eingegrenzt. Das ein oder andere Programm bzw. Icon entfernen und dann ist man schon ziemlich weit.

Was man unbedingt vermeiden sollte ist den User zum lokalen Admin machen. Ist dies unabdingbar dann aber nur mit einer schriftlichen Bestätigung. Nur dadurch ist dem Anwender bewußt zu machen welche Verantwortung er damit trägt.
Und man kann gleichzeitig darauf hinweisen, dass er damit nur einen eingeschränkten Support erhält.

Gruß
Stefan

P.S.:
Weitere Sicherheitsmaßnahmen um das System sicher zu machen sind hier natürlich ausgenommen (z.B. Patches, Firewall, Virenscanner,...)

Ohne User hätten wir keine Arbeit ;o)
...nur ein Programm oder ein Icon entfernen ist recht wenig...an jeder Ecke bekommt man heute entsprechende "Heftchen" mit Software und HowTo´s für Bios knacken, Passwörter hashen usw...User sind da sehr erfindungsreich !
(z.B. ne "verboten.exe" in "excel.exe" umbenennen...sehr beliebtes Spiel !)
Ich hab kein AD, wir stellen grad auf Netware um, somit ist die Policy-Problematik nicht ganz so einfach.

Melchior Joined: 13 Jun 2004 Posts: 131 Location: München

funmaster wrote:

Ich hab kein AD, wir stellen grad auf Netware um,

Selber schuld.
Tschuldige, konnte mir es nicht verkneifen. Very Happy

O.k.,
also wenn du kein Client-Management Produkt im Einsatz hast dann wirklich am besten über Secedit. Ist ein Command Line Tool in Windows 2000/XP.

Code:

SeceditKonfiguriert und analysiert die Systemsicherheit durch Vergleichen der aktuellen Konfiguration mit mindestens einer Vorlage.

Klicken Sie auf einen Befehl, um die Befehlssyntax anzuzeigen:

secedit /analyze
secedit /configure
secedit /export
secedit /validate

Und bei Windows XP musst du dir dann auch noch gpupdate anschauen.

Gruß
Stefan