14
Programm-Updates installieren ohne lokale Adminrechte
Hallo,
verstehe ich es richtig, man kann einem Domänenuser (ohne lokale Adminrechte)
nicht berechtigen das er z.B. sein PDF24 selbst updaten darf?
Kann ja sein dass Domänenuser nur Vollzugriff auf den c:\Program Files\pdf24 Ordner braucht.
Das es kein Bestpractise wäre, ist mir klar.
Vermute das geht nicht, weil Software sich meistens Benutzerkonto-übergreifend in der Registry eintragen möchte und z.B. bei
Computer\HKEY_LOCAL_MACHINE.
Computer\HKEY_CURRENT_USER\SOFTWARE\
verstehe ich es richtig, man kann einem Domänenuser (ohne lokale Adminrechte)
nicht berechtigen das er z.B. sein PDF24 selbst updaten darf?
Kann ja sein dass Domänenuser nur Vollzugriff auf den c:\Program Files\pdf24 Ordner braucht.
Das es kein Bestpractise wäre, ist mir klar.
Vermute das geht nicht, weil Software sich meistens Benutzerkonto-übergreifend in der Registry eintragen möchte und z.B. bei
Computer\HKEY_LOCAL_MACHINE.
Computer\HKEY_CURRENT_USER\SOFTWARE\
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 672130
Url: https://administrator.de/forum/programm-updates-installieren-ohne-lokale-adminrechte-672130.html
Ausgedruckt am: 15.04.2025 um 06:04 Uhr
14 Kommentare
Neuester Kommentar
Ich denke, das mit dem Vollzugriff ist richtig. Frag mich aber nicht für welchen Ordner.
Genau aus diesem Grund habe ich das Programm runtergeschmissen.
Mir wars zu blöd da den Ordner zu finden oder mich dann für jedes Updat als Admin anzumelden.
Wenn erhöhte Rechte fürs Ausführen des Updates nicht reicht, dann nhaben die Programmierer gepfuscht und sie verdienen es nciht, dass ihr Programm weiter genutzt wird.
Genau aus diesem Grund habe ich das Programm runtergeschmissen.
Mir wars zu blöd da den Ordner zu finden oder mich dann für jedes Updat als Admin anzumelden.
Wenn erhöhte Rechte fürs Ausführen des Updates nicht reicht, dann nhaben die Programmierer gepfuscht und sie verdienen es nciht, dass ihr Programm weiter genutzt wird.
1
Moin,
https://community.chocolatey.org/packages?q=PDF24
https://winstall.app/apps/geeksoftwareGmbH.PDF24Creator
etc, etc. ...
Als Startup Script und gut ist. Im laufenden Betrieb wollen wir eh kaum updaten. Reboot sollte genügen. Ansonsten selber MSI bauen oder runterladen und via GPO.
Dann braucht man User nicht berechtigen....
https://community.chocolatey.org/packages?q=PDF24
https://winstall.app/apps/geeksoftwareGmbH.PDF24Creator
etc, etc. ...
Als Startup Script und gut ist. Im laufenden Betrieb wollen wir eh kaum updaten. Reboot sollte genügen. Ansonsten selber MSI bauen oder runterladen und via GPO.
Dann braucht man User nicht berechtigen....
1
Moin,
Gruß Thomas
Zitat von @kpunkt:
Wenn erhöhte Rechte fürs Ausführen des Updates nicht reicht, dann nhaben die Programmierer gepfuscht und sie verdienen es nciht, dass ihr Programm weiter genutzt wird.
so ein Unfug. Dass ein Programm, welches unter anderem auch Drucker auf dem Rechner einrichtet, nun mal ganz einfach Adminrechte braucht um dies zu tun, sollte doch wohl klar sein. Das hat überhaupt nichts mit Pfusch zu tun.Wenn erhöhte Rechte fürs Ausführen des Updates nicht reicht, dann nhaben die Programmierer gepfuscht und sie verdienen es nciht, dass ihr Programm weiter genutzt wird.
Gruß Thomas
Zitat von @Crusher79:
...
https://community.chocolatey.org/packages?q=PDF24
...
Als Startup Script und gut ist.
...
https://community.chocolatey.org/packages?q=PDF24
...
Als Startup Script und gut ist.
Was, wenn die Community-Repos kompromittiert werden? Dann hat man schön automatisiert alle Rechner infiziert. Dann lieber selbst hosten.
Naja wir haben Nexus...
https://www.sonatype.com/products/nexus-community-edition-download#repoc ...
Außerdem kannst du Paket selber bauen und es direkt ohne Nexus o.ä. installieren...
Du kannst auch Quellen automatisch herunterladen und Hashsummen in die install.ps1 automatisch integrieren. Fertig.
https://www.sonatype.com/products/nexus-community-edition-download#repoc ...
Außerdem kannst du Paket selber bauen und es direkt ohne Nexus o.ä. installieren...
Du kannst auch Quellen automatisch herunterladen und Hashsummen in die install.ps1 automatisch integrieren. Fertig.
Das meine ich ja mit selbst hosten 
Deine Empfehlung war halt das Community-Repo zu verwenden, wovon ich abraten würde.
Deine Empfehlung war halt das Community-Repo zu verwenden, wovon ich abraten würde.
Zitat von @CamelCase:
Das meine ich ja mit selbst hosten
Deine Empfehlung war halt das Community-Repo zu verwenden, wovon ich abraten würde.
Das meine ich ja mit selbst hosten
Deine Empfehlung war halt das Community-Repo zu verwenden, wovon ich abraten würde.
Eigentlich war die Empfehlung mal irgendwo mit anzufangen.
Mozilla hat ja scheinbar aus Verzweiflung schon einen Maintenance Task vor Zeiten mit installiert, der sich um die Updates kümmert ...
Software in einer AD zu deployen ist ja kein Hexenwerk und nichts neues.
https://tools.pdf24.org/de/creator
Sogar MSI aus wählbar. MSI und GPO ... da war doch was.
Doch es ist Pfusch wenn es um ein einfaches Update geht. Vor allem, wenn es da nicht reicht mir erhöhten Rechten aufgerufen zu werden.
Na dann pfuschen für dich ja alle. Auch Acrobat verlangt für ein Update erhöhte Rechte 🤷♂️
Vor allem, wenn es da nicht reicht mir erhöhten Rechten aufgerufen zu werden.
Muss an dir liegen, bei mir funktioniert das Updaten mit erhöhten Rechten tadellos.
Nein, es geht nicht um erhöhte Rechte. Es geht darum, dass das Programm beim Update auf mehr zugreifen muss, als es durch die erhöhten Rechte erhält.
Entweder, man findet raus, welche Ordner das sind (es werden wahrscheinlich irgendwelche Ordner sein, bei denen die Berechtigung fehlt bei einem "Ausführen als"), oder aber man loggt sich komplett als Admin ein.
Und ja, das ist Pfusch.
Entweder, man findet raus, welche Ordner das sind (es werden wahrscheinlich irgendwelche Ordner sein, bei denen die Berechtigung fehlt bei einem "Ausführen als"), oder aber man loggt sich komplett als Admin ein.
Und ja, das ist Pfusch.
Zitat von @kpunkt:
Nein, es geht nicht um erhöhte Rechte. Es geht darum, dass das Programm beim Update auf mehr zugreifen muss, als es durch die erhöhten Rechte erhält.
Entweder, man findet raus, welche Ordner das sind (es werden wahrscheinlich irgendwelche Ordner sein, bei denen die Berechtigung fehlt bei einem "Ausführen als"), oder aber man loggt sich komplett als Admin ein.
Wie gesagt: Bei mir klappt das Updaten mit erhöhten Rechten problemlos, ohne mich in einem Adminaccount einzuloggen zu müssen -> muss an dir liegen.Nein, es geht nicht um erhöhte Rechte. Es geht darum, dass das Programm beim Update auf mehr zugreifen muss, als es durch die erhöhten Rechte erhält.
Entweder, man findet raus, welche Ordner das sind (es werden wahrscheinlich irgendwelche Ordner sein, bei denen die Berechtigung fehlt bei einem "Ausführen als"), oder aber man loggt sich komplett als Admin ein.
Environoment-Parameter sind ggf. anders. Mit oder ohne Profil, etc.
Installer oder Wrapper wie chocolatey mit erhöhten Rechten sollten in 90% der Fälle passen.
Möglich wäre, das bei billig Installern nicht geprüft wird oder mitten drin für einige Komponenten Rechte gebraucht werden.
Normal schiebt man ganz nach vonr sowas wie "IsAdmin?" und bietet User da schon die Möglichkeit an. Führt man solche Scripte aber von Beginn an erhöht aus, so sollte das schon passen.
Ja, es gibt auch ganz besch.... Software, die nur als Admin sauber funktioniert und man sich die Zähne ausbeißt. Agfa Plotter Steuerung z.B.
Techn. ist das egal. Wenn es unter Admin läuft, sind die fertig.... Prioritäten liegen da woanders.
Aber wie @TK1987 schon sagte ist es keineswegs "normal". Wenn möglich, Software dann wechseln oder es liegt noch ein ganz anderes Problem vor.
Ggf. auch mal außerhalb der Domäne testen. Erst dann hat man aussagekräftige Werte. Durch Installer und Optimizer sind manche Workstations auch durch "Profis" versaut. Trotzdem darf man sich nicht drauf ausruhen und sollte schon immer hinterfrage warum der "normale" Weg nicht geht!
Installer oder Wrapper wie chocolatey mit erhöhten Rechten sollten in 90% der Fälle passen.
Möglich wäre, das bei billig Installern nicht geprüft wird oder mitten drin für einige Komponenten Rechte gebraucht werden.
Normal schiebt man ganz nach vonr sowas wie "IsAdmin?" und bietet User da schon die Möglichkeit an. Führt man solche Scripte aber von Beginn an erhöht aus, so sollte das schon passen.
Ja, es gibt auch ganz besch.... Software, die nur als Admin sauber funktioniert und man sich die Zähne ausbeißt. Agfa Plotter Steuerung z.B.
Techn. ist das egal. Wenn es unter Admin läuft, sind die fertig.... Prioritäten liegen da woanders.
Aber wie @TK1987 schon sagte ist es keineswegs "normal". Wenn möglich, Software dann wechseln oder es liegt noch ein ganz anderes Problem vor.
Ggf. auch mal außerhalb der Domäne testen. Erst dann hat man aussagekräftige Werte. Durch Installer und Optimizer sind manche Workstations auch durch "Profis" versaut. Trotzdem darf man sich nicht drauf ausruhen und sollte schon immer hinterfrage warum der "normale" Weg nicht geht!
Zitat von @TK1987:
Na dann pfuschen für dich ja alle. Auch Acrobat verlangt für ein Update erhöhte Rechte 🤷♂️
Na dann pfuschen für dich ja alle. Auch Acrobat verlangt für ein Update erhöhte Rechte 🤷♂️
ja Adobe hat auch keinen Plan von MSI File Erstellung, da geb ich dir Brief und Siegel
Eigentlich die einzige Firma die das Konzept MSI Files behherrscht ist Microsoft selbst.
99% vom Rest hat keinen Plan was sie da verbrechen....
Geht von - kann man mit leben, wie Adobe, bist ganz schlimm nach dem motto ist ein MSI was in wirklichkeit innen drin eine setup.exe starte, das MSI beendet und dann läuft die setup.exe im background und alle wundern sich warum man kein anderes setup im anschluss gescheit gestartet bekommt.... und als Admin musste dann per WMI die Tasks auslesen und künstliche pausen per scripts einbauen....
egal, thats life...
Aber mit dem Fall hat das grad nix zu tun, das verhalten ist normal von dem PDF24er Dings...
Aber besser coden könnte man das dennoch.
schlimmsten verbrecher sind aber inzwischen alle die so Apps anbieten ausm App Store...
ganz vorne mit dabei Microsoft... und Teams... ist der hammer wie man es falsch machen kann, dafür gibts keine worte mehr.
Wie auch beim TO und auch mehreren anderen Installationen. Ich seh da ja ein Muster. Aber eben auch andere Software, die zwar erhöhte wollen (weil normal), aber eben nicht, dass man da komplett als Admin angemeldet ist.
Den gleichen Krampf macht Microsoft auch hin und wieder, wenn man über deren Download-Tool gleich einen bootbaren USB-Stick basteln will. Kurz bevor der USB beschrieben wird, kommt die Meldung, man braucht Admin-Rechte. Ist ja irgendwie klar. Da reicht dann so wie sie es machen ein RunAs nicht. Könnte man halt auch schon vor dem Download anmerken. Auch das ist Pfusch. Usability für'n A.
Und ganz ehrlich, wenn so ein kleines Tool, von dem es drölfzigmüllonen andere gibt, such ich nicht lange danach, was ich evtl. bei der Installation oder der Berechtigung ändern müsste. Da kommt der nächste Kandidat, der da nicht rumzickt. Vor allem, weil man ja immer auf ein neues Update warten muss, bevor man da auf Fehlersuche gehen kann.
Den gleichen Krampf macht Microsoft auch hin und wieder, wenn man über deren Download-Tool gleich einen bootbaren USB-Stick basteln will. Kurz bevor der USB beschrieben wird, kommt die Meldung, man braucht Admin-Rechte. Ist ja irgendwie klar. Da reicht dann so wie sie es machen ein RunAs nicht. Könnte man halt auch schon vor dem Download anmerken. Auch das ist Pfusch. Usability für'n A.
Und ganz ehrlich, wenn so ein kleines Tool, von dem es drölfzigmüllonen andere gibt, such ich nicht lange danach, was ich evtl. bei der Installation oder der Berechtigung ändern müsste. Da kommt der nächste Kandidat, der da nicht rumzickt. Vor allem, weil man ja immer auf ein neues Update warten muss, bevor man da auf Fehlersuche gehen kann.
