Go Back   Desktop & Server Management (DSM) Forum > GERMAN > DSM 7 > DSM 7 NetInstall
Register FAQ Members List Calendar Search Today's Posts Mark Forums Read

Reply
 
Thread Tools Search this Thread Display Modes
  #1  
Old October 31st, 2014, 11:38
gl-hl gl-hl is offline
Benutzer
 
Join Date: 10-29-12
Posts: 56
Default Win-Prozesse während Adobe Reader Installation temporär sperren?

Hallo,

wie geht ihr z.B. beim Update vom Adobe Reader XI MUI vor.

Mein Szenario:
1. Prüfen ob Adobe Reader selbst (AcroRd32.exe) und der Internet Explorer (iexplore.exe) laufen.
2. Danach erscheint eine MsgBox beim Anwender mit einem Countdown zum Beenden.
3. Erst danach erfolgt die eigentliche Installation bzw. das Update

Mein Problem:
Nun öffnen ziemlich viele Anwender direkt nach dem Beenden aus der MessageBox wieder den Internet Explorer, was mir im Anschluss die Policy zerhaut und der Adobe Reader nicht sauber installiert ist.
Eine Reparatur bzw. eine Neuinstallation der Policy ist im Anschluss möglich, jedoch möchte ich dies gerne vermeiden

Gibt es die Möglichkeit div. Prozesse temporär zu sperren?
Oder am besten mit dem Befehl ShowBlueScreen arbeiten?

Wie handhabt ihr solche Themen?

Beste Grüße
G.L.
Reply With Quote
  #2  
Old October 31st, 2014, 12:07
derniwi derniwi is offline
Erfahrener Benutzer
 
Join Date: 02-15-12
Posts: 1,701
Default

Hallo,

dieses Problem hat man leider immer wieder. In dem Fall vorher den Benutzern klar machen, dass wenn eine Anwendung während dem Betrieb aktualisiert wird, sollen sie bitte warten, bis das DSM-Icon wieder im Normalzustand ist.

Bei denjenigen, die dann trotzdem immer wieder Streß machen, den Rechner einziehen und einfach komplett neu installieren. Damit sind diese halt einige Zeit etwas am Arbeiten gehindert, aber nach der zweiten oder dritten Neuinstallation geben viele klein bei.

Spaß bei Seite: wenn das immer wieder vorkommt, dann hast du nur wenige Möglichkeiten. Das geht vom Sperren der Maus und Tastatur (gibt es Programm dafür) über die Anzeige einer Meldung im Vollbildmodus (ich nutze hierfür IrfanView, kann man direkt mit Bild ohne Installation starten, dazu noch eine Verknüpfung in den Autostart-Ordner anlegen, so daß beim Neustart gleich wieder das Bild gezeigt wird und man kann das Programm auch schön beenden, jedoch braucht man auch hierfür eine Firmen-Lizenz) bis hin zur Installation vor der nächsten Anmeldung an Windows (was aber auch andere Probleme nach sich ziehen kann).

Das ist halt auch eine Frage der Firmen- und IT-Politik.

Gruß
Nils
Reply With Quote
  #3  
Old October 31st, 2014, 13:27
NicoS's Avatar
NicoS NicoS is offline
Erfahrener Benutzer
 
Join Date: 09-10-07
Location: Bad Rappenau
Posts: 1,364
Send a message via ICQ to NicoS
Default

Hallo,

das Problem kenne ich auch nur zu gut. Aber es gibt Abhilfe die man als böser Administrator setzen kann

Grundsätzlich setzt du einen Registry Key:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer
Einen Reg_DWORD namens "DisallowRun" mit dem Wert 1

Danach erstellst du einen neuen Schlüssel namens:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\DisallowRun

Da drunter kannst du nun REG_SZ Werte anlegen:
Name: 1
Wert: iexplore.exe
(usw. Name dann entsprechend hochzählen).

Sobald der Wert gesetzt wird, werden Prozesse mit diesem nicht mehr gestartet.
Nach der Installation, am Besten den DisallowRun REG_DWORD wieder auf 0 setzen, und die REG_SZ Werte wieder löschen.

Das schöne ist... das greift sofort, kein Reboot notwendig

Achtung: Manche Antivirenlösungen, z.B. McAfee könnten es unterbinden, dass man außerhalb von einer GPO in diesen Wert rein schreibt. Hier müsste man u.U. die AV-Policy anpassen.
__________________
- Nico Schmidtbauer
Fujitsu TDS GmbH
Privater Blog - Generelle IT & Deployment Themen, DSM Themen und DSM Automatisierung via PowerShell
Reply With Quote
  #4  
Old October 31st, 2014, 14:07
gl-hl gl-hl is offline
Benutzer
 
Join Date: 10-29-12
Posts: 56
Default

Hi zusammen,

bääämmm, danke für die Infos
Das Beispielt mit dem IrfanView hört sich ja ziemlich gut an.
Den Reg-Key teste ich dann gleich mal.

Vielen Dank und ein schönes weekend!

Beste Grüße
G.L.
Reply With Quote
  #5  
Old October 31st, 2014, 14:43
derniwi derniwi is offline
Erfahrener Benutzer
 
Join Date: 02-15-12
Posts: 1,701
Default

Gute Idee, Nico.

Hier sollte man evtl. auch prüfen, ob der Schlüssel schon existiert. Falls dem so ist, dann auch prüfen, ob da schon Werte vorhanden sind. Und die Werte, die man dann selbst setzt, am besten noch in einem eigenen Registry-Teil dokumentieren, so dass nur diese später entfernt werden. Sonst arbeitet man evtl. gegen eigene Policies oder Firewall-Einstellungen.

Gruß
Nils
Reply With Quote
  #6  
Old October 31st, 2014, 18:50
NicoS's Avatar
NicoS NicoS is offline
Erfahrener Benutzer
 
Join Date: 09-10-07
Location: Bad Rappenau
Posts: 1,364
Send a message via ICQ to NicoS
Default

Hallo,
kleiner Hinweis:
Irfanview... aufpassen!! Nur kostenlos für die private Nutzung und öffentliche / humantiäre Einrichtungen. Einsatz in normalen Unternehmen => Lizenzpflichtig!
Gruß
__________________
- Nico Schmidtbauer
Fujitsu TDS GmbH
Privater Blog - Generelle IT & Deployment Themen, DSM Themen und DSM Automatisierung via PowerShell
Reply With Quote
  #7  
Old July 23rd, 2015, 14:36
Andree's Avatar
Andree Andree is offline
Benutzer
 
Join Date: 12-02-10
Location: Celle
Posts: 67
Default

NicoS:
Super Idee mit den DisallowRun ... jedoch übernimmt er diese bei mir nur nach einem Neustart :-(
Noch ein Tipp?


Ansonsten kurze Frage in die Runde zum Adobe Reader DC:
Welche Services von Adobe sperrt ihr noch nach der Installation?
Siehe zum Beispiel: http://www.adobe.com/devnet-docs/acr...integration(DC)
__________________
Bis dann

Andree
-----------------------
seit 01.01.2014 leider ohne DSM unterwegs ... aber man arbeitet dran es wieder zu bekommen
Reply With Quote
  #8  
Old July 23rd, 2015, 15:03
NicoS's Avatar
NicoS NicoS is offline
Erfahrener Benutzer
 
Join Date: 09-10-07
Location: Bad Rappenau
Posts: 1,364
Send a message via ICQ to NicoS
Default

Hallo Andre,

Achtung, hier gibt's 2 Teile:
1. DisallowRun Grundsätzlich auf 1 setzen ==> Danach wird glaube ich ein Reboot benötigt (das setzen wir mittlerweile per Default auf den Clients).

2. Für das eintragen von Prozessen hinterher brauche ich unter W7 x64 und x86 keinen Reboot mehr. Unter Windows 8 & 10 hab ich es noch nicht getestet.
__________________
- Nico Schmidtbauer
Fujitsu TDS GmbH
Privater Blog - Generelle IT & Deployment Themen, DSM Themen und DSM Automatisierung via PowerShell
Reply With Quote
  #9  
Old July 24th, 2015, 10:17
derniwi derniwi is offline
Erfahrener Benutzer
 
Join Date: 02-15-12
Posts: 1,701
Default

Hallo Nico,

Quote:
Originally Posted by NicoS View Post
Achtung, hier gibt's 2 Teile:
1. DisallowRun Grundsätzlich auf 1 setzen ==> Danach wird glaube ich ein Reboot benötigt (das setzen wir mittlerweile per Default auf den Clients).

2. Für das eintragen von Prozessen hinterher brauche ich unter W7 x64 und x86 keinen Reboot mehr. Unter Windows 8 & 10 hab ich es noch nicht getestet.
Ich teste das gerade mal unter Windows 7 x64.

Ich habe folgendes Problem: wenn ich den DisallowRun-Eintrag unter HKLM setze, weil das Paket per Service veritelt wird, dann klappt das leider nicht, ein angemeldeter Benutzer kann die Anwendung dennoch ausführen.

Also, gesetzt sind:
Code:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DisallowRun=DWORD:1

HKEY_LOCAL_MACHINE\Software\Wow5432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer
DisallowRun=DWORD:1
Und die entsprechenden Anwendungen:
Code:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
AcroRd32.exe="AcroRd32.exe"

HKEY_LOCAL_MACHINE\Software\Wow5432Node\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
AcroRd32.exe="AcroRd32.exe"
Trage ich die .exe unter HKCU ein, dann klappt das. Einen Neustart habe ich natürlich auch durchgeführt, so dass der DisallowRun=1 dem Explorer bekannt sein sollte.

Kann es sein, dass DisallowRun nur für den Benutzer, aber nicht global funktioniert?

Gruß
Nils
Reply With Quote
  #10  
Old July 24th, 2015, 10:25
NicoS's Avatar
NicoS NicoS is offline
Erfahrener Benutzer
 
Join Date: 09-10-07
Location: Bad Rappenau
Posts: 1,364
Send a message via ICQ to NicoS
Default

Quote:
Originally Posted by derniwi View Post
Kann es sein, dass DisallowRun nur für den Benutzer, aber nicht global funktioniert?
Sieht so aus. Hab es auch mal mit dem HKLM versucht. Das hat nicht funktioniert bei mir. Wir verwenden bei solchen Updates nur den AutoInstaller, aufgrund der besseren "Interaktion" mit dem Userprofil, gerade wenn Benutzer Sachen geöffnet haben könnten usw.

Deshalb ist es mir nicht aufgefallen
__________________
- Nico Schmidtbauer
Fujitsu TDS GmbH
Privater Blog - Generelle IT & Deployment Themen, DSM Themen und DSM Automatisierung via PowerShell
Reply With Quote
Reply


Thread Tools Search this Thread
Search this Thread:

Advanced Search
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

vB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Forum Jump

   

All times are GMT +1. The time now is 02:54.

Powered by vBulletin Version 3.6.7
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.