17
Deaktivierung Benutzerkontensteuerung mittels GPO
Hallo Community,
ich bin neu hier in der Community. Als System Administrator habe ich die Aufgabe, ein Update einer Branchensoftware auszurollen, welches auf dem Server installiert wird. Sobald der Client die neue Version erkennt, will er das Update installieren.
Dabei soll die Benutzerkontensteuerung deaktiviert werden, sodass der Client das Update ohne Adminrechte installieren darf.
Dieses Vorhaben soll über eine GPO realisiert werden.
Wer kann mir da weiterhelfen?
mfg, G. Biermann
ich bin neu hier in der Community. Als System Administrator habe ich die Aufgabe, ein Update einer Branchensoftware auszurollen, welches auf dem Server installiert wird. Sobald der Client die neue Version erkennt, will er das Update installieren.
Dabei soll die Benutzerkontensteuerung deaktiviert werden, sodass der Client das Update ohne Adminrechte installieren darf.
Dieses Vorhaben soll über eine GPO realisiert werden.
Wer kann mir da weiterhelfen?
mfg, G. Biermann
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 1583948259
Url: https://administrator.de/contentid/1583948259
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
17 Kommentare
Neuester Kommentar
Hi.
Falscher Ansatz. Deaktiviert man die UAC bekommt der Nutzer keine Adminrechte.
Frage den hersteller nach einem Updateprozess für Nichtadmins oder skripte das Update selbst.
Falscher Ansatz. Deaktiviert man die UAC bekommt der Nutzer keine Adminrechte.
Frage den hersteller nach einem Updateprozess für Nichtadmins oder skripte das Update selbst.
1
Zitat von @G.Biermann:
Dabei soll die Benutzerkontensteuerung deaktiviert werden, sodass der Client das Update ohne Adminrechte installieren darf.
Dabei soll die Benutzerkontensteuerung deaktiviert werden, sodass der Client das Update ohne Adminrechte installieren darf.
Der für Updates/Installationen durch Berrnutzer vorgesehene Installationsort wäre %Appdata%\local, wo will die Software sich denn hin installieren?
Aber so ganz generell wäre es eine Aufgabe des Herstellers seine Software zu fixen.
/Thomas
Falscher Ansatz. Deaktiviert man die UAC bekommt der Nutzer keine Adminrechte.
Frage den hersteller nach einem Updateprozess für Nichtadmins oder skripte das Update selbst.
Ich schließe mich hier an, denn dafür sind Programme meist zu unterschiedlich um eine pauschale Lösung hier zu nennen. Der Hersteller hat idr. auch für solche Szenarien einen Workaround.
Ein ganz anderer Ansatz der allerdings keine Pauschallösung ist, wäre... den Programmordner lokal auf dem Client via GPO die Rechte zu geben.
Computerkonfiguration -> Richtlinien -> Windows Einstellungen -> Sicherheitseinstellungen -> Dateisystem
Damit lassen sich einige Programme dann doch installieren obwohl der User keine lokalen Adminrechte hat. Aber das ist Bastel.
Der Hersteller muss was haben, da es auch nicht unüblich ist, dass User keine lokalen Adminrechte haben.
lg
demine
Danke Euch Dreien für Eure Antworten.
Ich werde den Hersteller diesbezüglich kontaktieren.
Gibt es nicht eine pauschale Möglichkeit, eine Software an die Clients auszurollen, sodass der Benutzer nichts unternehmen muss? Quasi Silent-Mode?
Ich komme aus der Linux-Welt und bin nun seit langem wieder in der Windows-Welt. Theoretisch kenne ich mich mit GPOs aus. Habe schon lange keine mehr angewandt. Bevor ich die Firma lahm lege, möchte ich mich im Vorfeld doch mehr mit diesem Thema auseinander setzen.
LG, G. Biermann
Ich werde den Hersteller diesbezüglich kontaktieren.
Gibt es nicht eine pauschale Möglichkeit, eine Software an die Clients auszurollen, sodass der Benutzer nichts unternehmen muss? Quasi Silent-Mode?
Ich komme aus der Linux-Welt und bin nun seit langem wieder in der Windows-Welt. Theoretisch kenne ich mich mit GPOs aus. Habe schon lange keine mehr angewandt. Bevor ich die Firma lahm lege, möchte ich mich im Vorfeld doch mehr mit diesem Thema auseinander setzen.
LG, G. Biermann
Zitat von @G.Biermann:
Gibt es nicht eine pauschale Möglichkeit, eine Software an die Clients auszurollen
Probier mal lansweeper,Gibt es nicht eine pauschale Möglichkeit, eine Software an die Clients auszurollen
in kleinen Umgebung reicht die kostenlose Variante beschränkt auf 100 assets.
Danke, werde ich mir mal bei Gelegenheit anschauen.
Es sollte aber trotzdem mit Windows-Boardmitteln funktionieren.
Es sollte aber trotzdem mit Windows-Boardmitteln funktionieren.
Du kannst mit dreierlei eingebauten Mechanismen zum Deployment arbeiten:
Ich würde den immediate Task nehmen.
Voraussetzung ist, dass Dein Setup Silent Deployment unterstützt. (tun die meisten). Frag den Hersteller nach den passenden Kommandozeilenparametern.
- geplanter Task (ausführendes Konto: System, Trigger: Systemstart) bzw. immediate Task
- Startskript
- (wenn Setup als MSI vorliegt) GPO-MSI-Softwareverteilung.
Ich würde den immediate Task nehmen.
Voraussetzung ist, dass Dein Setup Silent Deployment unterstützt. (tun die meisten). Frag den Hersteller nach den passenden Kommandozeilenparametern.
Danke DerWoWusste,
laut meinem Chef soll es über GPO umgesetzt werden. Im Netz gibt es ja reichlich Anleitungen für die Softwareverteilung mittels GPO. Ich bin mir halt nur nicht sicher, ob diese auch bei dem Update der Software greift.
Es muss halt beim 1. Versuch funktionieren. Sobald ich das Update auf dem Server durchgeführt habe, wollen sich alle Clients auch updaten. Da wir mehrere Standorte haben, wäre das ein Disaster, wenn man sich an jedem Client als Administrator anmelden müsste.
LG G. Biermann
laut meinem Chef soll es über GPO umgesetzt werden. Im Netz gibt es ja reichlich Anleitungen für die Softwareverteilung mittels GPO. Ich bin mir halt nur nicht sicher, ob diese auch bei dem Update der Software greift.
Es muss halt beim 1. Versuch funktionieren. Sobald ich das Update auf dem Server durchgeführt habe, wollen sich alle Clients auch updaten. Da wir mehrere Standorte haben, wäre das ein Disaster, wenn man sich an jedem Client als Administrator anmelden müsste.
LG G. Biermann
Versteh bitte richtig: alle 3 Optionen sind per GPO.
Schau also, was das Setup ist.
Ist es eine Setup.exe - dann finde die silent-Parameter raus
Ist es ein MSI-Paket, dann teste die letzte Option.
Schau also, was das Setup ist.
Ist es eine Setup.exe - dann finde die silent-Parameter raus
Ist es ein MSI-Paket, dann teste die letzte Option.
Ok, das war mir nicht klar.
Die Branchensoftware ist eine Client-Server Software. Auf dem Server läuft MS-SQL Server und einige Dienste.
Das Prozedere ist wie folgt: Ich installiere das Update über eine setup.exe auf dem Server. Die Clients erkennen die neue Version auf dem Server und ziehen sich das Update und wollen es installieren. Nun soll der Client das Update ohne Adminrechte und ohne Zutun des Benutzers installieren.
Die Branchensoftware ist eine Client-Server Software. Auf dem Server läuft MS-SQL Server und einige Dienste.
Das Prozedere ist wie folgt: Ich installiere das Update über eine setup.exe auf dem Server. Die Clients erkennen die neue Version auf dem Server und ziehen sich das Update und wollen es installieren. Nun soll der Client das Update ohne Adminrechte und ohne Zutun des Benutzers installieren.
Ja, und nun? Frag den Hersteller nach dem Silentaufruf.
Ok, werde ich tun. Danke Dir.
Der Hersteller kann mir auch nicht weiter helfen.
Kann ich nicht einfach per GPO dem Client sagen, dass er eine Installation bzw. Update ohne Admin-Rechte ausführen soll?
Kann ich nicht einfach per GPO dem Client sagen, dass er eine Installation bzw. Update ohne Admin-Rechte ausführen soll?
Der Hersteller soll sich nicht dumm stellen.
Jedes Setup hat Silentparameter. Frag mal nach Technikern.
Jedes Setup hat Silentparameter. Frag mal nach Technikern.
Ich habe einen Tipp bekommen, dass es einfacher geht. Wie schon im letzten Post geschrieben, würde es ausreichen, wenn der Client ohne Adminrechte eine Software installieren darf. Wie kann ich das ausrollen?
Du, manchmal kommt man an den Punkt, da fragt man sich, ob der Fragende die Antworten liest oder ob sein Auge einen Weg um die Buchstaben herum findet.
Die Clients können mit dem Systemkonto Software installieren - die Nutzerrechte sind nicht maßgeblich.
Du brauchst für das Setup die Silentparameter und dann machst Du es wie mehrfach beschrieben.
Beispiel: \\server\share\setup.exe /q
Diese Zeile in eine Batchdatei, dann einen geplanten Task per GPO verteilen, der als Systemkonto einmalig läuft und das war's auch schon.
Die Clients können mit dem Systemkonto Software installieren - die Nutzerrechte sind nicht maßgeblich.
Du brauchst für das Setup die Silentparameter und dann machst Du es wie mehrfach beschrieben.
Beispiel: \\server\share\setup.exe /q
Diese Zeile in eine Batchdatei, dann einen geplanten Task per GPO verteilen, der als Systemkonto einmalig läuft und das war's auch schon.
Wer gab dir denn den Tipp? Und warum sagt er dir nicht wie sein Tipp umgesetzt werden kann?
Wie schon im letzten Post geschrieben, würde es ausreichen, wenn der Client ohne Adminrechte eine Software installieren darf. Wie kann ich das ausrollen?
Der Client (das Computerkonto) hat „Adminrechte“, das „wie“ wurde hier im Threat ja schon ausführlichst beschrieben.
