9
GPO Benutzer dürfen Updates installieren
Hallo zusammen,
ich stehe vor einer Herausforderung und bisher konnte ich keine passende Lösung finden. Vielleicht kann mir jemand von euch weiterhelfen?
Konkret geht es darum, dass in der Active Directory Benutzer sowohl normale Berechtigungen als auch Administratorenrechte haben. Normale Benutzer sind derzeit jedoch eingeschränkt und können weder Software installieren noch Updates durchführen. Ich frage mich, ob es möglich ist, über eine Gruppenrichtlinie (GPO) einzurichten, dass normale Benutzer eigenständig Software-Updates für verschiedene Programme auf ihren PCs installieren können.
Momentan kommt es regelmäßig vor, dass jemand anruft und darum bittet, dass ein Administrator vorbeikommt, um die aktuellen Softwareupdates zu installieren. Dies geschieht, weil das System Meldungen über verfügbare Updates für Programme sendet.
Ich wäre sehr dankbar für eure Unterstützung.
Viele Grüße
Tom
ich stehe vor einer Herausforderung und bisher konnte ich keine passende Lösung finden. Vielleicht kann mir jemand von euch weiterhelfen?
Konkret geht es darum, dass in der Active Directory Benutzer sowohl normale Berechtigungen als auch Administratorenrechte haben. Normale Benutzer sind derzeit jedoch eingeschränkt und können weder Software installieren noch Updates durchführen. Ich frage mich, ob es möglich ist, über eine Gruppenrichtlinie (GPO) einzurichten, dass normale Benutzer eigenständig Software-Updates für verschiedene Programme auf ihren PCs installieren können.
Momentan kommt es regelmäßig vor, dass jemand anruft und darum bittet, dass ein Administrator vorbeikommt, um die aktuellen Softwareupdates zu installieren. Dies geschieht, weil das System Meldungen über verfügbare Updates für Programme sendet.
Ich wäre sehr dankbar für eure Unterstützung.
Viele Grüße
Tom
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 41862775936
Url: https://administrator.de/contentid/41862775936
Printed on: May 10, 2024 at 05:05 o'clock
9 Comments
Latest comment
Moin,
bist Du bei euch der Admin?
Habe ich das richtig verstanden, dass in eurer Domäne jeder Benutzer nicht nur User sondern auch gleichzeitig Admin-Rechte hat?
bist Du bei euch der Admin?
Habe ich das richtig verstanden, dass in eurer Domäne jeder Benutzer nicht nur User sondern auch gleichzeitig Admin-Rechte hat?
Quote from @watIsLos:
Moin,
bist Du bei euch der Admin?
Habe ich das richtig verstanden, dass in eurer Domäne jeder Benutzer nicht nur User sondern auch gleichzeitig Admin-Rechte hat?
Moin,
bist Du bei euch der Admin?
Habe ich das richtig verstanden, dass in eurer Domäne jeder Benutzer nicht nur User sondern auch gleichzeitig Admin-Rechte hat?
Hallo
ja, ich bin der Admin.
Nein, in der Domäne hat nicht jeder User Adminrechte, sondern nur die Admins. Alle anderen sind ganz normale User mit Standardberechtigungen.
Normale Benutzer sollten eingeschränkt bleiben. MS-Updates sollten automatisch vom WSUS bezogen werden. Updates von Drittanbietern sollten auch automatisch bezogen werden und dann z.B. vom NT Systembenutzer installiert.
Anders wäre es hier bei der Installation von neuer Software, dies sollte weiterhin über den Admin, oder dessen Kollegen laufen. Aus Sicherheitsgründen sollte das Whitelisting aktiv sein, alles andere ist Schweizer Käse und führt über kurz oder lang zur Kompromittierung.
Anders wäre es hier bei der Installation von neuer Software, dies sollte weiterhin über den Admin, oder dessen Kollegen laufen. Aus Sicherheitsgründen sollte das Whitelisting aktiv sein, alles andere ist Schweizer Käse und führt über kurz oder lang zur Kompromittierung.
Warum nutzt ihr keine Softwareverteilung? Zum Beispiel WSUS, Baramundi, usw.
Dann werden die Updates automatisch ausgerollt.
Gruss Penny.
Dann werden die Updates automatisch ausgerollt.
Gruss Penny.
1
@tom990:
Hallo.
Schon klar, solche Programme gibt es bei uns auch (Kleinkram wie PDF24Creator, Zip-Programm, Citrix Workspace, Java-Client u. v. w. m.). Wir sind ein kleiner Laden, wir vertrösten die Anwender, die deswegen anrufen, daß die Meldung demnächst verschwinden wird (also, daß das Update demnächst erledigt wird), und sie die Meldung bis dahin gefälligst ignorieren sollen. Und wenn dann mal Zeit ist, meist Freitag Spätnachmittag, wenn die alle nach Hause sind, satteln wir per WOL i. V. m. RDP auf (oder notfalls die Turnschuhe) und erledigen die anstehenden Updates manuell.
Dein Netzwerk/Deine Domäne mit all den Usern besteht ja sicherlich nicht erst seit kurzem, wie habt Ihr das bisher erledigt?
Adminrechte nur für diese Programme? Wüßte nicht, wie das gehen soll.
Wenn das für Euch manuell nicht mehr zu stemmen ist (vor allen Dingen, wenn Ihr auf Zuruf zu jedem einzelnen Rechner im lfd. Betrieb hinlauft, welch ein Wahnsinn), dann kann ich mich nur dem Rat von @Penny.Cilin anschließen: Nutzt eine Softwareverteilung. Wenn Euch "echte" Softwareverteilungen wie Baramundi zu großkalibrig sind, gibt es auch kleinere Lösungen wie bspw. die Softwareinstallation per GPO, doch damit muß man sich beschäftigen. Das muß man aber mit richtigen Kauflösungen auch. Arbeit macht das immer, gleichgültig, ob nun manuell oder automatisiert per Verteilung.
Viele Grüße
von
departure69
Hallo.
dass jemand anruft und darum bittet, dass ein Administrator vorbeikommt, um die aktuellen Softwareupdates zu installieren. Dies geschieht, weil das System Meldungen über verfügbare Updates für Programme sendet.
Schon klar, solche Programme gibt es bei uns auch (Kleinkram wie PDF24Creator, Zip-Programm, Citrix Workspace, Java-Client u. v. w. m.). Wir sind ein kleiner Laden, wir vertrösten die Anwender, die deswegen anrufen, daß die Meldung demnächst verschwinden wird (also, daß das Update demnächst erledigt wird), und sie die Meldung bis dahin gefälligst ignorieren sollen. Und wenn dann mal Zeit ist, meist Freitag Spätnachmittag, wenn die alle nach Hause sind, satteln wir per WOL i. V. m. RDP auf (oder notfalls die Turnschuhe) und erledigen die anstehenden Updates manuell.
Dein Netzwerk/Deine Domäne mit all den Usern besteht ja sicherlich nicht erst seit kurzem, wie habt Ihr das bisher erledigt?
Adminrechte nur für diese Programme? Wüßte nicht, wie das gehen soll.
Wenn das für Euch manuell nicht mehr zu stemmen ist (vor allen Dingen, wenn Ihr auf Zuruf zu jedem einzelnen Rechner im lfd. Betrieb hinlauft, welch ein Wahnsinn), dann kann ich mich nur dem Rat von @Penny.Cilin anschließen: Nutzt eine Softwareverteilung. Wenn Euch "echte" Softwareverteilungen wie Baramundi zu großkalibrig sind, gibt es auch kleinere Lösungen wie bspw. die Softwareinstallation per GPO, doch damit muß man sich beschäftigen. Das muß man aber mit richtigen Kauflösungen auch. Arbeit macht das immer, gleichgültig, ob nun manuell oder automatisiert per Verteilung.
Viele Grüße
von
departure69
Es ist schon schwer genug den Benutzern gewisse Dinge technisch zu untersagen, die können z.B. Windows Updates unter gewissen Umständen ausführen und sie können auch Software in APPDATA installieren bzw. updaten. Das will man doch aber eigentlich gar nicht, Wie willst du den als Admin verhindern, das
a) Software installiert wird die nichts auf den Systemen zu suchen hat,
b) Schadsoftware ausgeführt wird,
c) der Benutzer Updates einfach nie macht,
d) unterschiedliche Versionsstände im Netz zu Problemen führen oder
e) fehlerhafte Updates vom Hersteller oder
f) inkompatible Updates ausgerollt werden?
Natürlich kann man in einer drei Mann Bude oder da wo eben nur Zoom und Office Online eingesetzt werden und keine Fachsoftware jeden selber frickeln lassen oder man macht Weltweit BOYDund das ganze RZ steht hinter irgendwelchen Zero Trust Schichten irgendwo in Sicherheit aber im normalen Netz vor Ort möchtest du dem Benutzer nicht die Verantwortung für IT-Sicherheit und einen funktionierenden Betrieb übertragen.
a) Software installiert wird die nichts auf den Systemen zu suchen hat,
b) Schadsoftware ausgeführt wird,
c) der Benutzer Updates einfach nie macht,
d) unterschiedliche Versionsstände im Netz zu Problemen führen oder
e) fehlerhafte Updates vom Hersteller oder
f) inkompatible Updates ausgerollt werden?
Natürlich kann man in einer drei Mann Bude oder da wo eben nur Zoom und Office Online eingesetzt werden und keine Fachsoftware jeden selber frickeln lassen oder man macht Weltweit BOYDund das ganze RZ steht hinter irgendwelchen Zero Trust Schichten irgendwo in Sicherheit aber im normalen Netz vor Ort möchtest du dem Benutzer nicht die Verantwortung für IT-Sicherheit und einen funktionierenden Betrieb übertragen.
Moin.
Cheers,
jsysde
Zitat von @tom990:
[...]dass normale Benutzer eigenständig Software-Updates für verschiedene Programme auf ihren PCs installieren können.
No way - zum Installieren dieser Updates werden Admin-Rechte benötigt. Diese sollte ein User _niemals!_ bekommen. Stattdessen: Software so konfigurieren, dass Updates dem User erst gar nicht angezeigt werden (Auto-Update: OFF). Software-Verteilung einsetzen und die Pakete von zentraler Stelle aus mit den passenden Berechtigungen installieren lassen. Anders geht es nicht.[...]dass normale Benutzer eigenständig Software-Updates für verschiedene Programme auf ihren PCs installieren können.
Cheers,
jsysde
Prinzipiell kann man das einrichten. Security Probleme mal außen vor gelassen.
Du brauchst ein Software-Deployment System, welches durch den Start eines Windows Service die Software installiert.
Ich mach das mit WPKG (ist natürlich Arbeit, das aufzusetzen).
Mit Chocolate geht es auch.
Der Windows Service startet beim Neustart und installiert die Updates.
Alternativ kann man die Security auf dem Windows Service auch so einstellen, dass ein "normaler" User oder eine Gruppe diesen starten darf.
Für die Usability kann man noch ein kleines Script schreiben, mit Shortcut auf den Desktop, das den Start per "Klickibunti" macht.
Bei WPKG kann man sehr genau einstellen, was bei welchem Rechner installiert wird oder ein Upgrade bekommt.
Muss man halt verwalten.
Die "Brain-Computer" Schnittstelle heisst immer noch "Tastatur und Maus".
KI ist bisher keine drin
Vielleicht wäre auch Ansible möglich.
Du brauchst ein Software-Deployment System, welches durch den Start eines Windows Service die Software installiert.
Ich mach das mit WPKG (ist natürlich Arbeit, das aufzusetzen).
Mit Chocolate geht es auch.
Der Windows Service startet beim Neustart und installiert die Updates.
Alternativ kann man die Security auf dem Windows Service auch so einstellen, dass ein "normaler" User oder eine Gruppe diesen starten darf.
Für die Usability kann man noch ein kleines Script schreiben, mit Shortcut auf den Desktop, das den Start per "Klickibunti" macht.
Bei WPKG kann man sehr genau einstellen, was bei welchem Rechner installiert wird oder ein Upgrade bekommt.
Muss man halt verwalten.
Die "Brain-Computer" Schnittstelle heisst immer noch "Tastatur und Maus".
KI ist bisher keine drin
Vielleicht wäre auch Ansible möglich.
Moin,
Softwareverteilung braucht man nicht unbedingt vom Drittanbieter.
Das gibt es auch kostenlos von Microsoft:
Wie schon geschrieben, man muss sich damit beschäftigen.
Gruss Penny.
Softwareverteilung braucht man nicht unbedingt vom Drittanbieter.
Das gibt es auch kostenlos von Microsoft:
- WDS (Windows Deployment Services)
- MDT (Microsoft Deployment Toolkit)
Wie schon geschrieben, man muss sich damit beschäftigen.
Gruss Penny.
