tom990
Goto Top

GPO Benutzer dürfen Updates installieren

Hallo zusammen,

ich stehe vor einer Herausforderung und bisher konnte ich keine passende Lösung finden. Vielleicht kann mir jemand von euch weiterhelfen?

Konkret geht es darum, dass in der Active Directory Benutzer sowohl normale Berechtigungen als auch Administratorenrechte haben. Normale Benutzer sind derzeit jedoch eingeschränkt und können weder Software installieren noch Updates durchführen. Ich frage mich, ob es möglich ist, über eine Gruppenrichtlinie (GPO) einzurichten, dass normale Benutzer eigenständig Software-Updates für verschiedene Programme auf ihren PCs installieren können.

Momentan kommt es regelmäßig vor, dass jemand anruft und darum bittet, dass ein Administrator vorbeikommt, um die aktuellen Softwareupdates zu installieren. Dies geschieht, weil das System Meldungen über verfügbare Updates für Programme sendet.

Ich wäre sehr dankbar für eure Unterstützung.

Viele Grüße
Tom

Content-ID: 41862775936

Url: https://administrator.de/en/gpo-benutzer-duerfen-updates-installieren-41862775936.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

watIsLos
watIsLos 12.01.2024 um 12:17:34 Uhr
Goto Top
Moin,

bist Du bei euch der Admin?

Habe ich das richtig verstanden, dass in eurer Domäne jeder Benutzer nicht nur User sondern auch gleichzeitig Admin-Rechte hat?
tom990
tom990 12.01.2024 um 12:37:34 Uhr
Goto Top
Quote from @watIsLos:

Moin,

bist Du bei euch der Admin?

Habe ich das richtig verstanden, dass in eurer Domäne jeder Benutzer nicht nur User sondern auch gleichzeitig Admin-Rechte hat?

Hallo

ja, ich bin der Admin.
Nein, in der Domäne hat nicht jeder User Adminrechte, sondern nur die Admins. Alle anderen sind ganz normale User mit Standardberechtigungen.
watIsLos
watIsLos 12.01.2024 um 12:53:14 Uhr
Goto Top
Normale Benutzer sollten eingeschränkt bleiben. MS-Updates sollten automatisch vom WSUS bezogen werden. Updates von Drittanbietern sollten auch automatisch bezogen werden und dann z.B. vom NT Systembenutzer installiert.

Anders wäre es hier bei der Installation von neuer Software, dies sollte weiterhin über den Admin, oder dessen Kollegen laufen. Aus Sicherheitsgründen sollte das Whitelisting aktiv sein, alles andere ist Schweizer Käse und führt über kurz oder lang zur Kompromittierung.
Penny.Cilin
Penny.Cilin 12.01.2024 um 13:08:17 Uhr
Goto Top
Warum nutzt ihr keine Softwareverteilung? Zum Beispiel WSUS, Baramundi, usw.

Dann werden die Updates automatisch ausgerollt.

Gruss Penny.
departure69
departure69 12.01.2024 um 14:27:45 Uhr
Goto Top
@tom990:

Hallo.

dass jemand anruft und darum bittet, dass ein Administrator vorbeikommt, um die aktuellen Softwareupdates zu installieren. Dies geschieht, weil das System Meldungen über verfügbare Updates für Programme sendet.

Schon klar, solche Programme gibt es bei uns auch (Kleinkram wie PDF24Creator, Zip-Programm, Citrix Workspace, Java-Client u. v. w. m.). Wir sind ein kleiner Laden, wir vertrösten die Anwender, die deswegen anrufen, daß die Meldung demnächst verschwinden wird (also, daß das Update demnächst erledigt wird), und sie die Meldung bis dahin gefälligst ignorieren sollen. Und wenn dann mal Zeit ist, meist Freitag Spätnachmittag, wenn die alle nach Hause sind, satteln wir per WOL i. V. m. RDP auf (oder notfalls die Turnschuhe) und erledigen die anstehenden Updates manuell.

Dein Netzwerk/Deine Domäne mit all den Usern besteht ja sicherlich nicht erst seit kurzem, wie habt Ihr das bisher erledigt?

Adminrechte nur für diese Programme? Wüßte nicht, wie das gehen soll.

Wenn das für Euch manuell nicht mehr zu stemmen ist (vor allen Dingen, wenn Ihr auf Zuruf zu jedem einzelnen Rechner im lfd. Betrieb hinlauft, welch ein Wahnsinn), dann kann ich mich nur dem Rat von @Penny.Cilin anschließen: Nutzt eine Softwareverteilung. Wenn Euch "echte" Softwareverteilungen wie Baramundi zu großkalibrig sind, gibt es auch kleinere Lösungen wie bspw. die Softwareinstallation per GPO, doch damit muß man sich beschäftigen. Das muß man aber mit richtigen Kauflösungen auch. Arbeit macht das immer, gleichgültig, ob nun manuell oder automatisiert per Verteilung.

Viele Grüße

von

departure69
ukulele-7
ukulele-7 12.01.2024 um 14:31:20 Uhr
Goto Top
Es ist schon schwer genug den Benutzern gewisse Dinge technisch zu untersagen, die können z.B. Windows Updates unter gewissen Umständen ausführen und sie können auch Software in APPDATA installieren bzw. updaten. Das will man doch aber eigentlich gar nicht, Wie willst du den als Admin verhindern, das

a) Software installiert wird die nichts auf den Systemen zu suchen hat,
b) Schadsoftware ausgeführt wird,
c) der Benutzer Updates einfach nie macht,
d) unterschiedliche Versionsstände im Netz zu Problemen führen oder
e) fehlerhafte Updates vom Hersteller oder
f) inkompatible Updates ausgerollt werden?

Natürlich kann man in einer drei Mann Bude oder da wo eben nur Zoom und Office Online eingesetzt werden und keine Fachsoftware jeden selber frickeln lassen oder man macht Weltweit BOYDund das ganze RZ steht hinter irgendwelchen Zero Trust Schichten irgendwo in Sicherheit aber im normalen Netz vor Ort möchtest du dem Benutzer nicht die Verantwortung für IT-Sicherheit und einen funktionierenden Betrieb übertragen.
jsysde
jsysde 13.01.2024 um 00:02:54 Uhr
Goto Top
Moin.
Zitat von @tom990:
[...]dass normale Benutzer eigenständig Software-Updates für verschiedene Programme auf ihren PCs installieren können.
No way - zum Installieren dieser Updates werden Admin-Rechte benötigt. Diese sollte ein User _niemals!_ bekommen. Stattdessen: Software so konfigurieren, dass Updates dem User erst gar nicht angezeigt werden (Auto-Update: OFF). Software-Verteilung einsetzen und die Pakete von zentraler Stelle aus mit den passenden Berechtigungen installieren lassen. Anders geht es nicht.

Cheers,
jsysde
ITwissen
ITwissen 13.01.2024 um 07:32:02 Uhr
Goto Top
Prinzipiell kann man das einrichten. Security Probleme mal außen vor gelassen.

Du brauchst ein Software-Deployment System, welches durch den Start eines Windows Service die Software installiert.

Ich mach das mit WPKG (ist natürlich Arbeit, das aufzusetzen).
Mit Chocolate geht es auch.

Der Windows Service startet beim Neustart und installiert die Updates.
Alternativ kann man die Security auf dem Windows Service auch so einstellen, dass ein "normaler" User oder eine Gruppe diesen starten darf.
Für die Usability kann man noch ein kleines Script schreiben, mit Shortcut auf den Desktop, das den Start per "Klickibunti" macht.

Bei WPKG kann man sehr genau einstellen, was bei welchem Rechner installiert wird oder ein Upgrade bekommt.
Muss man halt verwalten.
Die "Brain-Computer" Schnittstelle heisst immer noch "Tastatur und Maus".
KI ist bisher keine drin face-smile

Vielleicht wäre auch Ansible möglich.
Penny.Cilin
Penny.Cilin 13.01.2024 um 08:16:56 Uhr
Goto Top
Moin,

Softwareverteilung braucht man nicht unbedingt vom Drittanbieter.
Das gibt es auch kostenlos von Microsoft:
  • WDS (Windows Deployment Services)
  • MDT (Microsoft Deployment Toolkit)

Wie schon geschrieben, man muss sich damit beschäftigen.

Gruss Penny.