Deaktivierung Benutzerkontensteuerung mittels GPO

Hallo Community,

ich bin neu hier in der Community. Als System Administrator habe ich die Aufgabe, ein Update einer Branchensoftware auszurollen, welches auf dem Server installiert wird. Sobald der Client die neue Version erkennt, will er das Update installieren.

Dabei soll die Benutzerkontensteuerung deaktiviert werden, sodass der Client das Update ohne Adminrechte installieren darf.

Dieses Vorhaben soll über eine GPO realisiert werden.

Wer kann mir da weiterhelfen?

mfg, G. Biermann

Content-Key: 1583948259

Url: https://administrator.de/contentid/1583948259

Ausgedruckt am: 22.01.2022 um 08:01 Uhr

Mitglied: DerWoWusste
DerWoWusste 03.12.2021 um 16:13:43 Uhr
Goto Top
Hi.

Falscher Ansatz. Deaktiviert man die UAC bekommt der Nutzer keine Adminrechte.
Frage den hersteller nach einem Updateprozess für Nichtadmins oder skripte das Update selbst.
Mitglied: Th0mKa
Th0mKa 03.12.2021 aktualisiert um 21:08:35 Uhr
Goto Top
Zitat von @G.Biermann:
Dabei soll die Benutzerkontensteuerung deaktiviert werden, sodass der Client das Update ohne Adminrechte installieren darf.

Der für Updates/Installationen durch Berrnutzer vorgesehene Installationsort wäre %Appdata%\local, wo will die Software sich denn hin installieren?

Aber so ganz generell wäre es eine Aufgabe des Herstellers seine Software zu fixen.

/Thomas
Mitglied: demine
demine 04.12.2021 um 01:35:50 Uhr
Goto Top

Falscher Ansatz. Deaktiviert man die UAC bekommt der Nutzer keine Adminrechte.
Frage den hersteller nach einem Updateprozess für Nichtadmins oder skripte das Update selbst.

Ich schließe mich hier an, denn dafür sind Programme meist zu unterschiedlich um eine pauschale Lösung hier zu nennen. Der Hersteller hat idr. auch für solche Szenarien einen Workaround.

Ein ganz anderer Ansatz der allerdings keine Pauschallösung ist, wäre... den Programmordner lokal auf dem Client via GPO die Rechte zu geben.
Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Dateisystem
Damit lassen sich einige Programme dann doch installieren obwohl der User keine lokalen Adminrechte hat. Aber das ist Bastel.
Der Hersteller muss was haben, da es auch nicht unüblich ist, dass User keine lokalen Adminrechte haben.

lg

demine
Mitglied: G.Biermann
G.Biermann 07.12.2021 um 09:45:21 Uhr
Goto Top
Danke Euch Dreien für Eure Antworten.
Ich werde den Hersteller diesbezüglich kontaktieren.
Gibt es nicht eine pauschale Möglichkeit, eine Software an die Clients auszurollen, sodass der Benutzer nichts unternehmen muss? Quasi Silent-Mode?
Ich komme aus der Linux-Welt und bin nun seit langem wieder in der Windows-Welt. Theoretisch kenne ich mich mit GPOs aus. Habe schon lange keine mehr angewandt. Bevor ich die Firma lahm lege, möchte ich mich im Vorfeld doch mehr mit diesem Thema auseinander setzen.

LG, G. Biermann
Mitglied: nachgefragt
nachgefragt 07.12.2021 um 09:55:28 Uhr
Goto Top
Zitat von @G.Biermann:
Gibt es nicht eine pauschale Möglichkeit, eine Software an die Clients auszurollen
Probier mal lansweeper,
in kleinen Umgebung reicht die kostenlose Variante beschränkt auf 100 assets.
Mitglied: G.Biermann
G.Biermann 07.12.2021 um 10:02:55 Uhr
Goto Top
Danke, werde ich mir mal bei Gelegenheit anschauen.
Es sollte aber trotzdem mit Windows-Boardmitteln funktionieren.
Mitglied: DerWoWusste
DerWoWusste 07.12.2021 aktualisiert um 10:05:30 Uhr
Goto Top
Du kannst mit dreierlei eingebauten Mechanismen zum Deployment arbeiten:
  • geplanter Task (ausführendes Konto: System, Trigger: Systemstart) bzw. immediate Task
  • Startskript
  • (wenn Setup als MSI vorliegt) GPO-MSI-Softwareverteilung.

Ich würde den immediate Task nehmen.
Voraussetzung ist, dass Dein Setup Silent Deployment unterstützt. (tun die meisten). Frag den Hersteller nach den passenden Kommandozeilenparametern.
Mitglied: G.Biermann
G.Biermann 07.12.2021 um 10:16:13 Uhr
Goto Top
Danke DerWoWusste,

laut meinem Chef soll es über GPO umgesetzt werden. Im Netz gibt es ja reichlich Anleitungen für die Softwareverteilung mittels GPO. Ich bin mir halt nur nicht sicher, ob diese auch bei dem Update der Software greift.
Es muss halt beim 1. Versuch funktionieren. Sobald ich das Update auf dem Server durchgeführt habe, wollen sich alle Clients auch updaten. Da wir mehrere Standorte haben, wäre das ein Disaster, wenn man sich an jedem Client als Administrator anmelden müsste.

LG G. Biermann
Mitglied: DerWoWusste
DerWoWusste 07.12.2021 um 10:17:56 Uhr
Goto Top
Versteh bitte richtig: alle 3 Optionen sind per GPO.
Schau also, was das Setup ist.

Ist es eine Setup.exe - dann finde die silent-Parameter raus
Ist es ein MSI-Paket, dann teste die letzte Option.
Mitglied: G.Biermann
G.Biermann 07.12.2021 um 11:41:15 Uhr
Goto Top
Ok, das war mir nicht klar.

Die Branchensoftware ist eine Client-Server Software. Auf dem Server läuft MS-SQL Server und einige Dienste.
Das Prozedere ist wie folgt: Ich installiere das Update über eine setup.exe auf dem Server. Die Clients erkennen die neue Version auf dem Server und ziehen sich das Update und wollen es installieren. Nun soll der Client das Update ohne Adminrechte und ohne Zutun des Benutzers installieren.
Mitglied: DerWoWusste
DerWoWusste 07.12.2021 um 12:15:16 Uhr
Goto Top
Ja, und nun? Frag den Hersteller nach dem Silentaufruf.
Mitglied: G.Biermann
G.Biermann 07.12.2021 um 12:59:23 Uhr
Goto Top
Ok, werde ich tun. Danke Dir.
Mitglied: G.Biermann
G.Biermann 10.12.2021 um 14:16:55 Uhr
Goto Top
Der Hersteller kann mir auch nicht weiter helfen.

Kann ich nicht einfach per GPO dem Client sagen, dass er eine Installation bzw. Update ohne Admin-Rechte ausführen soll?
Mitglied: DerWoWusste
DerWoWusste 10.12.2021 um 14:20:49 Uhr
Goto Top
Der Hersteller soll sich nicht dumm stellen.
Jedes Setup hat Silentparameter. Frag mal nach Technikern.
Mitglied: G.Biermann
G.Biermann 13.12.2021 um 08:14:19 Uhr
Goto Top
Ich habe einen Tipp bekommen, dass es einfacher geht. Wie schon im letzten Post geschrieben, würde es ausreichen, wenn der Client ohne Adminrechte eine Software installieren darf. Wie kann ich das ausrollen?
Mitglied: DerWoWusste
DerWoWusste 13.12.2021 um 09:24:38 Uhr
Goto Top
Du, manchmal kommt man an den Punkt, da fragt man sich, ob der Fragende die Antworten liest oder ob sein Auge einen Weg um die Buchstaben herum findet.

Die Clients können mit dem Systemkonto Software installieren - die Nutzerrechte sind nicht maßgeblich.
Du brauchst für das Setup die Silentparameter und dann machst Du es wie mehrfach beschrieben.
Beispiel: \\server\share\setup.exe /q
Diese Zeile in eine Batchdatei, dann einen geplanten Task per GPO verteilen, der als Systemkonto einmalig läuft und das war's auch schon.
Mitglied: Th0mKa
Th0mKa 13.12.2021 um 11:35:01 Uhr
Goto Top
Zitat von @G.Biermann:

Ich habe einen Tipp bekommen, dass es einfacher geht.
Wer gab dir denn den Tipp? Und warum sagt er dir nicht wie sein Tipp umgesetzt werden kann?

Wie schon im letzten Post geschrieben, würde es ausreichen, wenn der Client ohne Adminrechte eine Software installieren darf. Wie kann ich das ausrollen?
Der Client (das Computerkonto) hat „Adminrechte“, das „wie“ wurde hier im Threat ja schon ausführlichst beschrieben.
Heiß diskutierte Beiträge
general
Liste von URLs in wininet.dllFennek11Vor 1 TagAllgemeinInternet13 Kommentare

Hallo, die Frage ist zugleich enrsthaft und Satire: Windows enthält die Datei "c:\windows\system32\wininet.dll", die für viele Verbindungen ins Internet benötigt wird. Ein Blick in die ...

question
2 Faktor Authentifizierung generell abschaltenratzekahl1Vor 1 TagFrageGoogle Android9 Kommentare

Hallo zusammen, ich habe eine Frage: Kann ich in Google die 2 Faktor Authentifizierzung generell abschalten? Wenn ich ein Gerät als vertrauenswürdig hinzugefügt habe, ja, ...

question
Netzwerk Grafisch darstellen?FireWorldVor 1 TagFrageInternet8 Kommentare

Hallo, ich bin der Zeit auf der Suche nach einem Programm zur Grafischen Darstellung von inbound/outbound eines Servers in einem Rechenzentrum. Hat Jemand eine idee ...

info
Ruhe in Frieden, HackbratenVision2015Vor 1 TagInformationOff Topic5 Kommentare

Der US-Sänger Meat Loaf ist tot. Er starb laut seiner Facebook-Seite in der vergangenen Nacht im Alter von 74 Jahren. Meat Loaf, mit bürgerlichem Namen ...

question
Fritz Repeater 1750E "verloren"reksierpVor 1 TagFrageHardware9 Kommentare

Hallo, ich habe ein 150 Jahre altes Haus (ehemaliger Dorf-Bahnhof), sehr verwinkelt, viele Räume, mit Anbau, 2 Kriech-Dachböden. Vor mehreren Jahren hab ich einige Repeater ...

question
Tablet-Display defekt: wie Zugriff auf DatenMahstarDVor 1 TagFrageGoogle Android6 Kommentare

Guten Abend, ich habe ein Tablet überreicht bekommen mit der Bitte um den Versuch einer Datenrettung. Tablet: Samsung Galaxy Tab-A (2016, SM-T585) Das Display ist ...

info
SonicWall Bootloop seit letzter NachtSt-AndreasVor 1 TagInformationFirewall2 Kommentare

Sonicwall Gen 7 spielen Bootloop seit letzter Nacht. Hilfe dazu hier ...

question
Verständnisproblem SubnettingKarolaVor 17 StundenFrageNetzwerkgrundlagen6 Kommentare

Hallo, möchte mal nerven weil ich keine Antwort finde Ein Netzwerk 172.16.0.0 /16 besteht aus einem alten Router als 4 Port Switch und 4 Clients. ...