ich möchte per Gruppenrichtlinie nur bestimmte Programmordner zum Ausführen zulassen, in denen die Nutzer keine Schreibrechte haben

also nur C:\Windows, C:\Programme, C:\Programme (x86)
und \\dom.local\blabla\programmordner

wie mache ich das am geschicktesten?

Schau dir mal in der GPO folgende Option an

Benutzerkonfiguration -> Administrative Vorlagen -> System -> Dateisystem.


Wieso sollen Benutzer direkt in C:\Windows schreiben dürfen? per Default dürfen sie das eh schon nicht.
Bin etwas verwirrt.

habe mich da wohl etwas wirr ausgedrückt,
ich möchte dass nur aus bestimmten Ordnern Programme ausgeführt werden können

Die Programme sind bekannt oder unbekannt?

Also du suchst Applocker von M$


https://www.einfaches-netzwerk.at/applocker-konfigurieren-und-verwalten/

kann ich im Applocker Pfade als Whitelist angeben?
auf dem Netzlaufwerk liegt branchensoftware mit hunderten exen die auch regelmäßig geupdateted werden, die kann ich nicht einzeln per Hash angeben

im Beispiel in deinem Link sind auch extra Sperreinträge

ich möchte nur meine oben genannten Pfade erlauben, alles andere soll geblockt werden.

Ja das sollte gehen unter Computerkonfiguration > Richtlinien > Windows-Einstellungen > Sicherheitseinstellungen > Anwendungssteuerungsrichtlinien > AppLocker


Dort neue Regel erstellen und dann entsprechend die Pfade angeben.


Einfach mal mit einer Test GPO und Test Client spielen. Bitte nicht auf einer Haupt GPO setzen, das kann ganz schnell nach hinten los gehen. :freak: