SBS2011 - Lokale Benutzer gestatten nur Updates für bestimmte Software zu installieren
Hallo ihr Freaks,
bin hier im Forum neu und auch in Sachen SBS mehr oder weniger ein Greenhorn. Ich hoffe, dass ihr mir konstruktiv helfen könnt, schnell in die Materie einzusteigen. Habe viel gelesen und Bücher gewälzt, aber zu einem "Problem" habe ich so nichts gefunden, auch hier im Forum nicht. Also zur Problematik:
Die Umgebung besteht aus einem SBS2011 als AC und DC, sowie Exchange (der Vollständigkeit halber, was aber so ja jetzt eher nebensächlich ist, oder?).
Hinzu kommen 11 Windows 7 Professional Clients, die die Userprofile aufm SBS speichern.
Nun ist es so, dass die User so viel unsinnige Software lokal installiert haben und dies seit der Einführung der Domäne nicht mehr können, aber wichtige Updates für ein Programm (SysCad) installieren MÜSSEN. Leider kann ich die Updates nicht über WSUS verteilen lassen, da das .exe Dateien sind und zu dem auch ziemlich viele. Diese Dateien müssen immer von der SysCad-Webseite bezogen werden (mit E-Mail und Passwort) und das aus Lizenzgründen für jeden User der Software separat.
Wahrscheinlich muss ich also die Benutzer, die die Updates installieren müssen, über die Gruppenrichtlinie dazu "bemächtigen".
Aber wie mache ich das genau?
Wie gesagt: ich habe zu der Thematik leider nichts wirklich gutes gefunden und hoffe auf eure konstruktive Hilfe.
Beste Grüße aus der Hauptstadt und Dank im Voraus.
Chris
bin hier im Forum neu und auch in Sachen SBS mehr oder weniger ein Greenhorn. Ich hoffe, dass ihr mir konstruktiv helfen könnt, schnell in die Materie einzusteigen. Habe viel gelesen und Bücher gewälzt, aber zu einem "Problem" habe ich so nichts gefunden, auch hier im Forum nicht. Also zur Problematik:
Die Umgebung besteht aus einem SBS2011 als AC und DC, sowie Exchange (der Vollständigkeit halber, was aber so ja jetzt eher nebensächlich ist, oder?).
Hinzu kommen 11 Windows 7 Professional Clients, die die Userprofile aufm SBS speichern.
Nun ist es so, dass die User so viel unsinnige Software lokal installiert haben und dies seit der Einführung der Domäne nicht mehr können, aber wichtige Updates für ein Programm (SysCad) installieren MÜSSEN. Leider kann ich die Updates nicht über WSUS verteilen lassen, da das .exe Dateien sind und zu dem auch ziemlich viele. Diese Dateien müssen immer von der SysCad-Webseite bezogen werden (mit E-Mail und Passwort) und das aus Lizenzgründen für jeden User der Software separat.
Wahrscheinlich muss ich also die Benutzer, die die Updates installieren müssen, über die Gruppenrichtlinie dazu "bemächtigen".
Aber wie mache ich das genau?
Wie gesagt: ich habe zu der Thematik leider nichts wirklich gutes gefunden und hoffe auf eure konstruktive Hilfe.
Beste Grüße aus der Hauptstadt und Dank im Voraus.
Chris
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 185809
Url: https://administrator.de/forum/sbs2011-lokale-benutzer-gestatten-nur-updates-fuer-bestimmte-software-zu-installieren-185809.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
21 Kommentare
Neuester Kommentar
Moin.
Keine Ahnung, worauf Mr. Wrong hinaus will, denn es gibt keine derartige Richtlinie. Was GPO-Softwareverteilung leisten kann, ist nur folgendes:
1 Installation bestimmter MSI-Pakete automatisch beim Hochfahren des Rechners
2 Installation festgelegter MSI-Pakete durch Benutzer ohne Adminrechte
Sie kann nicht (wie auch?) festlegen: "für Software SysCAD kann Benutzer x in Zukunft jegliche Updates installieren".
Es gibt natürlich Möglichkeiten, "2" auch mit exe-Dateien nutzbar zu machen. Aber: es wird immer dabei bleiben, dass der Admin festlegen muss, was installierbar ist...Paket für Paket.
Der einzige Ausweg ist folgender: Du könntest den Nutzern einen geplanten Task einrichten, der mit Adminrechten arbeitet (Kennwort eingespeichert oder aber gleich vorzugsweise das Systemkonto nehmen) und ein bestimmtes Setup startet. Die Nutzer müssten nun nur noch das Recht haben, dieses bestimmte Setup gegen Ihren Download von sysCAD auszutauschen (umbenennen wird nötig sein).
Alles klar? Wenn nicht, rückfragen.
Es liegt jedoch auf der Hand, dass Du damit den Nutzern die Möglichkeit gibst, Ihren Rechner voll zu übernehmen, denn Sie könnten nun natürlich irgendein Setup dort hinlegen, was wer weiß was tut.
Somit ist das Fazit: es gibt keine zufriedenstellende Lösung. Du solltest mit dem Hersteller der Software reden und diesen Missstand anprangern.
Keine Ahnung, worauf Mr. Wrong hinaus will, denn es gibt keine derartige Richtlinie. Was GPO-Softwareverteilung leisten kann, ist nur folgendes:
1 Installation bestimmter MSI-Pakete automatisch beim Hochfahren des Rechners
2 Installation festgelegter MSI-Pakete durch Benutzer ohne Adminrechte
Sie kann nicht (wie auch?) festlegen: "für Software SysCAD kann Benutzer x in Zukunft jegliche Updates installieren".
Es gibt natürlich Möglichkeiten, "2" auch mit exe-Dateien nutzbar zu machen. Aber: es wird immer dabei bleiben, dass der Admin festlegen muss, was installierbar ist...Paket für Paket.
Der einzige Ausweg ist folgender: Du könntest den Nutzern einen geplanten Task einrichten, der mit Adminrechten arbeitet (Kennwort eingespeichert oder aber gleich vorzugsweise das Systemkonto nehmen) und ein bestimmtes Setup startet. Die Nutzer müssten nun nur noch das Recht haben, dieses bestimmte Setup gegen Ihren Download von sysCAD auszutauschen (umbenennen wird nötig sein).
Alles klar? Wenn nicht, rückfragen.
Es liegt jedoch auf der Hand, dass Du damit den Nutzern die Möglichkeit gibst, Ihren Rechner voll zu übernehmen, denn Sie könnten nun natürlich irgendein Setup dort hinlegen, was wer weiß was tut.
Somit ist das Fazit: es gibt keine zufriedenstellende Lösung. Du solltest mit dem Hersteller der Software reden und diesen Missstand anprangern.
Hallo,
Es gibt dazu eine Lösung. Die nennt sich z.B. Powerbroker desktop von Beyondtrust. http://www.beyondtrust.com/Products/PowerBroker-Desktops-Windows-Editio ... . Dort kannst da tatsächlich dem normalen Anwender (ohne Admin passwort etc) es ermöglichen eine Software zu installieren / upzudaten usw. Ist allerdings Kostenpflichtig.
Gruß,
Peter
Es gibt dazu eine Lösung. Die nennt sich z.B. Powerbroker desktop von Beyondtrust. http://www.beyondtrust.com/Products/PowerBroker-Desktops-Windows-Editio ... . Dort kannst da tatsächlich dem normalen Anwender (ohne Admin passwort etc) es ermöglichen eine Software zu installieren / upzudaten usw. Ist allerdings Kostenpflichtig.
Gruß,
Peter
Schön zu lesen, dass Du Dein Problem lösen konntest und Entschuldigung im Vorfeld für die Threadschändung:
Ich würde nur gerne wissen, ob die Installation und Nutzung von LUP auf dem SBS2011 problemlos funktioniert hat, da ja eigentlich die Umkonfiguration des WSUS zu Problemen mit der SBS internen Console führt.....
Ich würde nur gerne wissen, ob die Installation und Nutzung von LUP auf dem SBS2011 problemlos funktioniert hat, da ja eigentlich die Umkonfiguration des WSUS zu Problemen mit der SBS internen Console führt.....