GPO Benutzer dürfen Updates installieren
Hallo zusammen,
ich stehe vor einer Herausforderung und bisher konnte ich keine passende Lösung finden. Vielleicht kann mir jemand von euch weiterhelfen?
Konkret geht es darum, dass in der Active Directory Benutzer sowohl normale Berechtigungen als auch Administratorenrechte haben. Normale Benutzer sind derzeit jedoch eingeschränkt und können weder Software installieren noch Updates durchführen. Ich frage mich, ob es möglich ist, über eine Gruppenrichtlinie (GPO) einzurichten, dass normale Benutzer eigenständig Software-Updates für verschiedene Programme auf ihren PCs installieren können.
Momentan kommt es regelmäßig vor, dass jemand anruft und darum bittet, dass ein Administrator vorbeikommt, um die aktuellen Softwareupdates zu installieren. Dies geschieht, weil das System Meldungen über verfügbare Updates für Programme sendet.
Ich wäre sehr dankbar für eure Unterstützung.
Viele Grüße
Tom
ich stehe vor einer Herausforderung und bisher konnte ich keine passende Lösung finden. Vielleicht kann mir jemand von euch weiterhelfen?
Konkret geht es darum, dass in der Active Directory Benutzer sowohl normale Berechtigungen als auch Administratorenrechte haben. Normale Benutzer sind derzeit jedoch eingeschränkt und können weder Software installieren noch Updates durchführen. Ich frage mich, ob es möglich ist, über eine Gruppenrichtlinie (GPO) einzurichten, dass normale Benutzer eigenständig Software-Updates für verschiedene Programme auf ihren PCs installieren können.
Momentan kommt es regelmäßig vor, dass jemand anruft und darum bittet, dass ein Administrator vorbeikommt, um die aktuellen Softwareupdates zu installieren. Dies geschieht, weil das System Meldungen über verfügbare Updates für Programme sendet.
Ich wäre sehr dankbar für eure Unterstützung.
Viele Grüße
Tom
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 41862775936
Url: https://administrator.de/contentid/41862775936
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
9 Kommentare
Neuester Kommentar
Normale Benutzer sollten eingeschränkt bleiben. MS-Updates sollten automatisch vom WSUS bezogen werden. Updates von Drittanbietern sollten auch automatisch bezogen werden und dann z.B. vom NT Systembenutzer installiert.
Anders wäre es hier bei der Installation von neuer Software, dies sollte weiterhin über den Admin, oder dessen Kollegen laufen. Aus Sicherheitsgründen sollte das Whitelisting aktiv sein, alles andere ist Schweizer Käse und führt über kurz oder lang zur Kompromittierung.
Anders wäre es hier bei der Installation von neuer Software, dies sollte weiterhin über den Admin, oder dessen Kollegen laufen. Aus Sicherheitsgründen sollte das Whitelisting aktiv sein, alles andere ist Schweizer Käse und führt über kurz oder lang zur Kompromittierung.
@tom990:
Hallo.
Schon klar, solche Programme gibt es bei uns auch (Kleinkram wie PDF24Creator, Zip-Programm, Citrix Workspace, Java-Client u. v. w. m.). Wir sind ein kleiner Laden, wir vertrösten die Anwender, die deswegen anrufen, daß die Meldung demnächst verschwinden wird (also, daß das Update demnächst erledigt wird), und sie die Meldung bis dahin gefälligst ignorieren sollen. Und wenn dann mal Zeit ist, meist Freitag Spätnachmittag, wenn die alle nach Hause sind, satteln wir per WOL i. V. m. RDP auf (oder notfalls die Turnschuhe) und erledigen die anstehenden Updates manuell.
Dein Netzwerk/Deine Domäne mit all den Usern besteht ja sicherlich nicht erst seit kurzem, wie habt Ihr das bisher erledigt?
Adminrechte nur für diese Programme? Wüßte nicht, wie das gehen soll.
Wenn das für Euch manuell nicht mehr zu stemmen ist (vor allen Dingen, wenn Ihr auf Zuruf zu jedem einzelnen Rechner im lfd. Betrieb hinlauft, welch ein Wahnsinn), dann kann ich mich nur dem Rat von @Penny.Cilin anschließen: Nutzt eine Softwareverteilung. Wenn Euch "echte" Softwareverteilungen wie Baramundi zu großkalibrig sind, gibt es auch kleinere Lösungen wie bspw. die Softwareinstallation per GPO, doch damit muß man sich beschäftigen. Das muß man aber mit richtigen Kauflösungen auch. Arbeit macht das immer, gleichgültig, ob nun manuell oder automatisiert per Verteilung.
Viele Grüße
von
departure69
Hallo.
dass jemand anruft und darum bittet, dass ein Administrator vorbeikommt, um die aktuellen Softwareupdates zu installieren. Dies geschieht, weil das System Meldungen über verfügbare Updates für Programme sendet.
Schon klar, solche Programme gibt es bei uns auch (Kleinkram wie PDF24Creator, Zip-Programm, Citrix Workspace, Java-Client u. v. w. m.). Wir sind ein kleiner Laden, wir vertrösten die Anwender, die deswegen anrufen, daß die Meldung demnächst verschwinden wird (also, daß das Update demnächst erledigt wird), und sie die Meldung bis dahin gefälligst ignorieren sollen. Und wenn dann mal Zeit ist, meist Freitag Spätnachmittag, wenn die alle nach Hause sind, satteln wir per WOL i. V. m. RDP auf (oder notfalls die Turnschuhe) und erledigen die anstehenden Updates manuell.
Dein Netzwerk/Deine Domäne mit all den Usern besteht ja sicherlich nicht erst seit kurzem, wie habt Ihr das bisher erledigt?
Adminrechte nur für diese Programme? Wüßte nicht, wie das gehen soll.
Wenn das für Euch manuell nicht mehr zu stemmen ist (vor allen Dingen, wenn Ihr auf Zuruf zu jedem einzelnen Rechner im lfd. Betrieb hinlauft, welch ein Wahnsinn), dann kann ich mich nur dem Rat von @Penny.Cilin anschließen: Nutzt eine Softwareverteilung. Wenn Euch "echte" Softwareverteilungen wie Baramundi zu großkalibrig sind, gibt es auch kleinere Lösungen wie bspw. die Softwareinstallation per GPO, doch damit muß man sich beschäftigen. Das muß man aber mit richtigen Kauflösungen auch. Arbeit macht das immer, gleichgültig, ob nun manuell oder automatisiert per Verteilung.
Viele Grüße
von
departure69
Es ist schon schwer genug den Benutzern gewisse Dinge technisch zu untersagen, die können z.B. Windows Updates unter gewissen Umständen ausführen und sie können auch Software in APPDATA installieren bzw. updaten. Das will man doch aber eigentlich gar nicht, Wie willst du den als Admin verhindern, das
a) Software installiert wird die nichts auf den Systemen zu suchen hat,
b) Schadsoftware ausgeführt wird,
c) der Benutzer Updates einfach nie macht,
d) unterschiedliche Versionsstände im Netz zu Problemen führen oder
e) fehlerhafte Updates vom Hersteller oder
f) inkompatible Updates ausgerollt werden?
Natürlich kann man in einer drei Mann Bude oder da wo eben nur Zoom und Office Online eingesetzt werden und keine Fachsoftware jeden selber frickeln lassen oder man macht Weltweit BOYDund das ganze RZ steht hinter irgendwelchen Zero Trust Schichten irgendwo in Sicherheit aber im normalen Netz vor Ort möchtest du dem Benutzer nicht die Verantwortung für IT-Sicherheit und einen funktionierenden Betrieb übertragen.
a) Software installiert wird die nichts auf den Systemen zu suchen hat,
b) Schadsoftware ausgeführt wird,
c) der Benutzer Updates einfach nie macht,
d) unterschiedliche Versionsstände im Netz zu Problemen führen oder
e) fehlerhafte Updates vom Hersteller oder
f) inkompatible Updates ausgerollt werden?
Natürlich kann man in einer drei Mann Bude oder da wo eben nur Zoom und Office Online eingesetzt werden und keine Fachsoftware jeden selber frickeln lassen oder man macht Weltweit BOYDund das ganze RZ steht hinter irgendwelchen Zero Trust Schichten irgendwo in Sicherheit aber im normalen Netz vor Ort möchtest du dem Benutzer nicht die Verantwortung für IT-Sicherheit und einen funktionierenden Betrieb übertragen.
Moin.
Cheers,
jsysde
Zitat von @tom990:
[...]dass normale Benutzer eigenständig Software-Updates für verschiedene Programme auf ihren PCs installieren können.
No way - zum Installieren dieser Updates werden Admin-Rechte benötigt. Diese sollte ein User _niemals!_ bekommen. Stattdessen: Software so konfigurieren, dass Updates dem User erst gar nicht angezeigt werden (Auto-Update: OFF). Software-Verteilung einsetzen und die Pakete von zentraler Stelle aus mit den passenden Berechtigungen installieren lassen. Anders geht es nicht.[...]dass normale Benutzer eigenständig Software-Updates für verschiedene Programme auf ihren PCs installieren können.
Cheers,
jsysde
Prinzipiell kann man das einrichten. Security Probleme mal außen vor gelassen.
Du brauchst ein Software-Deployment System, welches durch den Start eines Windows Service die Software installiert.
Ich mach das mit WPKG (ist natürlich Arbeit, das aufzusetzen).
Mit Chocolate geht es auch.
Der Windows Service startet beim Neustart und installiert die Updates.
Alternativ kann man die Security auf dem Windows Service auch so einstellen, dass ein "normaler" User oder eine Gruppe diesen starten darf.
Für die Usability kann man noch ein kleines Script schreiben, mit Shortcut auf den Desktop, das den Start per "Klickibunti" macht.
Bei WPKG kann man sehr genau einstellen, was bei welchem Rechner installiert wird oder ein Upgrade bekommt.
Muss man halt verwalten.
Die "Brain-Computer" Schnittstelle heisst immer noch "Tastatur und Maus".
KI ist bisher keine drin
Vielleicht wäre auch Ansible möglich.
Du brauchst ein Software-Deployment System, welches durch den Start eines Windows Service die Software installiert.
Ich mach das mit WPKG (ist natürlich Arbeit, das aufzusetzen).
Mit Chocolate geht es auch.
Der Windows Service startet beim Neustart und installiert die Updates.
Alternativ kann man die Security auf dem Windows Service auch so einstellen, dass ein "normaler" User oder eine Gruppe diesen starten darf.
Für die Usability kann man noch ein kleines Script schreiben, mit Shortcut auf den Desktop, das den Start per "Klickibunti" macht.
Bei WPKG kann man sehr genau einstellen, was bei welchem Rechner installiert wird oder ein Upgrade bekommt.
Muss man halt verwalten.
Die "Brain-Computer" Schnittstelle heisst immer noch "Tastatur und Maus".
KI ist bisher keine drin
Vielleicht wäre auch Ansible möglich.