85807
Mar 23, 2011, updated at 16:38:05 (UTC)
5960
7
0
Win 7 Aufforderung zur Eingabe des Administratorkontos bei Programm Updates usw.
Hallo,
Ich habe hier einen SBS 2003 mit einigen Win7 PCs.
Der User der am Win7 Client arbeitet ist dort Standardbenutzer. Das soll auch so bleiben.
Jedoch nervt es sehr, dass bei jeglichen Aktionen die gemacht werden dauernd die Auffoerderung der Eingabe eines Administratorkontos erscheint.
Sei es beim Updaten von Java oder Adobe oder beim installieren eines USB Sticks.
Jetzt dem Benutzer für jedes Programm einzeln Administratorrechte zu vergeben wäre ziemlich umständlich.
Hab es aber Testweise bei Java und Adobe gemacht und musste dort erst die Besitzerberechtigung von "System" auf den User ändern da ich es sonst nicht ändern konnte bzw keine Wirkung zeigt (kling komisch war aber so)
Ich will auch nicht die Benutzerkonten steuerung deaktivieren denn irgendwie hat sie ja was sehr positives an sich
Was würdet ihr in diesem Fall machen?
Ich habe hier einen SBS 2003 mit einigen Win7 PCs.
Der User der am Win7 Client arbeitet ist dort Standardbenutzer. Das soll auch so bleiben.
Jedoch nervt es sehr, dass bei jeglichen Aktionen die gemacht werden dauernd die Auffoerderung der Eingabe eines Administratorkontos erscheint.
Sei es beim Updaten von Java oder Adobe oder beim installieren eines USB Sticks.
Jetzt dem Benutzer für jedes Programm einzeln Administratorrechte zu vergeben wäre ziemlich umständlich.
Hab es aber Testweise bei Java und Adobe gemacht und musste dort erst die Besitzerberechtigung von "System" auf den User ändern da ich es sonst nicht ändern konnte bzw keine Wirkung zeigt (kling komisch war aber so)
Ich will auch nicht die Benutzerkonten steuerung deaktivieren denn irgendwie hat sie ja was sehr positives an sich
Was würdet ihr in diesem Fall machen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 163249
Url: https://administrator.de/contentid/163249
Printed on: April 19, 2024 at 08:04 o'clock
7 Comments
Latest comment
Hallo,
Das zu ändern ist nicht das Problem. Die seutp.exe aus dem Loginscript nicht mehr verwenden weil dazu werden Admin Rechte benötigt. Was passiert aber dann mit den bereitstellen der drucker, Faxdienste, IE Einstelloungen, Outlook Profil Daten, Sofwateverteilung über der "diesem Computer Anwendungen zuweisen" usw. das geht dann alles so nicht mehr. Du müsstest dir dann überlegen wie du Software verteilen kannst damit du auch die Updates so Kontrollieren / Installieren kannst (Softwareverteilung per GPO). Das geht auch beim SBS 2003. WSUS sollte dann auch auf dem SBS 2003 oder einen anderen Server existieren. (Aber die meisten Kunden mit einem SBS 2003 Haben und wollen keinen weiteren Server 2003 (Weder Blech nocht Virtuell weil auch die Serverlizenz sich nicht rechnet). Dann: wer soll das alles Einrichten und Pflegen? Externe Dienstleister? Seltenst da hier die Kosten einfach zu hoch sind. Selber? Woher das Fachwissen für Softwareverteilung per GPO holen? Wie geht das mit den MSI Dateien? Was ist wenn eine Applikation keine MSI anbietet? Woher die Parameter? Wer auf welchen Rechner testet das alles im vorfeld damit der Anwender hinterher sauber Arbeiten kann? Wer hat in einem kleinen Unternehmen schon alle Rechner Identisch? Kaum einer. Wer in einer SBS Umgebung mit 6 Rechner arbeitet, ist froh wenn der Dienstleister nach 2 Tagen wieder draussen ist weil es einfach sonst zu teuer wird. Eine eigene EDV unterhält kaum einer diese Kunden. Dann Drucker im Netzwerk verteilen. jetzt bper GPO. Und damals? per script. Wer hat es erstellt? Wo kam es her? IE Anpassen. ISA evtl auch. Profile für die Outlook / Exchange vorbereiten damit der Anwender nichts machen muss. Office verteilen usw...
Du kannst den Benutzern natürlich die Lokalen Admin Rechte nehmen. Dann solltest du sicherstellen das keine Software ohne Softwareverteilung Installiert wurde. Sonst klappt das mit den Updates nicht. Festlegen welche Software auf welchen rechner installiert werden muss / soll. Wo und wann kommne dann die Updates der jeweiligen Applikation her und wie kommen die dann auf den rechner drauf. Wer ist dann Hauptberuflich der Admin der dann mal schnell einen Fehler beheben kann damit der Anwender wieder arbeiten kann.
Unterschätze nicht den Aufwand alleine die updates von Adobe unter kontrolle zu halten. Bei mehar als 30 Rechner sieht hier die Aufwand / Nutzen Rechnung schon besser aus. Bei 70 und mehr Rechner sieht alleine das Budget für die EDV schon ganz anders aus...
Nur ein paar meiner Gedanken zu diesem Thema mit den SBS 2003. Und ja, ich betreue einige SBS 2003 Kunden und habe diese Diskussion mit "Warum gibt es denn schon wieder ein Update von Adobe? Brauche is das denn? Wie lange dauert denn das updaten bei 8 Rechner? Und am Montag wollen Sie wiederkommen und für meine Warenwirtschaft updates einspielen? Die läuft aber doch? Warum..." immer wieder.
Gruß,
Peter
Zitat von @85807:
Ich habe hier einen SBS 2003 mit einigen Win7 PCs.
Was würdet ihr in diesem Fall machen?
Dir ist schon klar das MS damals beim SBS festgelegt hat das der Lokale Benutzer "Admin" Rechte haben sollte. Dadurch war es möglich ohne grossen Aufwand Softwareupdates etc im griff zu bekommen. Da sich der WSUS erst später durchsetzen konnte, wurde aber am Konzept des SBS 2003 nichts mehr geändert. Auch das starten der berüchtigten "setup.exe /s servername" im Loginscript SBS_Login_Script.bat konnte so erst funktionieren. Auchb das verteilen von Software wurde so damals erst möglich. Das es heute auch teilweise anders geht ist klar, aber der SBS2003 ist 200/2001 Konzipert worden. Vor allem kleine Firmen sollte so in den genuss einer funktinierenden Plattform kommen. das ist ja weitesgehend so. Die wenigstenMS Kunden welche einen SBS betreiben haben jemals davon gehört "keinen Exchange auf einen DC, kein ISA auf einen DC usw" Das alles aber ist beim SBS 2003 alles auf einem stück Blech. Daher musste selbst MS ein wenig von normalen Konzept der trennung der Dienste etc abstand nehmen. Ergebniss: In einer SBS2003 Umgebung sollten Benutzer Lokale Admin Rechte haben.Ich habe hier einen SBS 2003 mit einigen Win7 PCs.
Was würdet ihr in diesem Fall machen?
Das zu ändern ist nicht das Problem. Die seutp.exe aus dem Loginscript nicht mehr verwenden weil dazu werden Admin Rechte benötigt. Was passiert aber dann mit den bereitstellen der drucker, Faxdienste, IE Einstelloungen, Outlook Profil Daten, Sofwateverteilung über der "diesem Computer Anwendungen zuweisen" usw. das geht dann alles so nicht mehr. Du müsstest dir dann überlegen wie du Software verteilen kannst damit du auch die Updates so Kontrollieren / Installieren kannst (Softwareverteilung per GPO). Das geht auch beim SBS 2003. WSUS sollte dann auch auf dem SBS 2003 oder einen anderen Server existieren. (Aber die meisten Kunden mit einem SBS 2003 Haben und wollen keinen weiteren Server 2003 (Weder Blech nocht Virtuell weil auch die Serverlizenz sich nicht rechnet). Dann: wer soll das alles Einrichten und Pflegen? Externe Dienstleister? Seltenst da hier die Kosten einfach zu hoch sind. Selber? Woher das Fachwissen für Softwareverteilung per GPO holen? Wie geht das mit den MSI Dateien? Was ist wenn eine Applikation keine MSI anbietet? Woher die Parameter? Wer auf welchen Rechner testet das alles im vorfeld damit der Anwender hinterher sauber Arbeiten kann? Wer hat in einem kleinen Unternehmen schon alle Rechner Identisch? Kaum einer. Wer in einer SBS Umgebung mit 6 Rechner arbeitet, ist froh wenn der Dienstleister nach 2 Tagen wieder draussen ist weil es einfach sonst zu teuer wird. Eine eigene EDV unterhält kaum einer diese Kunden. Dann Drucker im Netzwerk verteilen. jetzt bper GPO. Und damals? per script. Wer hat es erstellt? Wo kam es her? IE Anpassen. ISA evtl auch. Profile für die Outlook / Exchange vorbereiten damit der Anwender nichts machen muss. Office verteilen usw...
Du kannst den Benutzern natürlich die Lokalen Admin Rechte nehmen. Dann solltest du sicherstellen das keine Software ohne Softwareverteilung Installiert wurde. Sonst klappt das mit den Updates nicht. Festlegen welche Software auf welchen rechner installiert werden muss / soll. Wo und wann kommne dann die Updates der jeweiligen Applikation her und wie kommen die dann auf den rechner drauf. Wer ist dann Hauptberuflich der Admin der dann mal schnell einen Fehler beheben kann damit der Anwender wieder arbeiten kann.
Unterschätze nicht den Aufwand alleine die updates von Adobe unter kontrolle zu halten. Bei mehar als 30 Rechner sieht hier die Aufwand / Nutzen Rechnung schon besser aus. Bei 70 und mehr Rechner sieht alleine das Budget für die EDV schon ganz anders aus...
Nur ein paar meiner Gedanken zu diesem Thema mit den SBS 2003. Und ja, ich betreue einige SBS 2003 Kunden und habe diese Diskussion mit "Warum gibt es denn schon wieder ein Update von Adobe? Brauche is das denn? Wie lange dauert denn das updaten bei 8 Rechner? Und am Montag wollen Sie wiederkommen und für meine Warenwirtschaft updates einspielen? Die läuft aber doch? Warum..." immer wieder.
Gruß,
Peter
Hallo,
Ich musste wirklich öfters beim durchlesen deines ausführlich und interessant geschriebenen Beitrag's schmunzeln Du hast das ganze wirklich genial formuliert.
Kann man dem wirklich zu-pflichten?
Ich meine ich hatte schon so oft wirklich harte Diskussionen mit 3th Party Softwareprogrammieren die meinten wir müssen allen Usern Lokale Administrator rechte vergeben weil sonst Ihre Software nicht richtig funktioniert. Wir waren aber am Argumentieren, dass das nicht ratsam sei, da sich sonst Viren viel leichter einschleusen und die User dann jeglichen Blödsinn fabrizieren könnten.
Wir haben ausschließlich KMUs mit SBS Servern. Also kannst Du dir vorstellen, dass ich überwiegen-dermaßen überall mit der selben Überlegung zu kämpfen habe.
Bei 2 KMUs musste ich aber bei einigen Usern die zuvor vergebenen Lokalen Adminrechte entziehen, da sich genau deswegen Viren am Computer eingeschleust hatten.
Ein definitives Ja für Lokale Adminrechte fehlt mir irgendwie noch um eine endgültige Entscheidung fällen zu können.
Sollte man nicht eher irgendwie eine Lösung finden nur gewissen Programmen Adminrechte zu vergeben ?
Ich hab zwar versucht dem Domänenbenutzer Lokale am Rechner für den "Programme" Ordner Vollzugriff zu geben, aber die Benutzerkontensteuerung macht mir hier einen querstrich durch die Rechnung. *gg*
mfG
Chris
Ich musste wirklich öfters beim durchlesen deines ausführlich und interessant geschriebenen Beitrag's schmunzeln
Du hast das ganze wirklich genial formuliert.In einer SBS2003 Umgebung sollten Benutzer Lokale Admin Rechte haben.
Kann man dem wirklich zu-pflichten?
Ich meine ich hatte schon so oft wirklich harte Diskussionen mit 3th Party Softwareprogrammieren die meinten wir müssen allen Usern Lokale Administrator rechte vergeben weil sonst Ihre Software nicht richtig funktioniert. Wir waren aber am Argumentieren, dass das nicht ratsam sei, da sich sonst Viren viel leichter einschleusen und die User dann jeglichen Blödsinn fabrizieren könnten.
Wir haben ausschließlich KMUs mit SBS Servern. Also kannst Du dir vorstellen, dass ich überwiegen-dermaßen überall mit der selben Überlegung zu kämpfen habe.
Bei 2 KMUs musste ich aber bei einigen Usern die zuvor vergebenen Lokalen Adminrechte entziehen, da sich genau deswegen Viren am Computer eingeschleust hatten.
Ein definitives Ja für Lokale Adminrechte fehlt mir irgendwie noch um eine endgültige Entscheidung fällen zu können.
Sollte man nicht eher irgendwie eine Lösung finden nur gewissen Programmen Adminrechte zu vergeben ?
Ich hab zwar versucht dem Domänenbenutzer Lokale am Rechner für den "Programme" Ordner Vollzugriff zu geben, aber die Benutzerkontensteuerung macht mir hier einen querstrich durch die Rechnung. *gg*
mfG
Chris
Auf verwalteten Computern werden Installationen und Updates durch Dienste vorgenommen - die UAC bekommt der Nutzer nicht zu Gesicht.
Sind die Programme nicht vernünftig verwaltbar, dann kann man schlimmstenfalls mit Skripten nachbessern. Geht auch das nicht, muss man manuell ran oder andere Programme/Verfahren wählen.
In keinem Fall dürfte bei ordentlicher Planung ein Fazit wie
Überdenkt Eure Konzept und macht Euch mit Softwareverteilung vertraut.
Sind die Programme nicht vernünftig verwaltbar, dann kann man schlimmstenfalls mit Skripten nachbessern. Geht auch das nicht, muss man manuell ran oder andere Programme/Verfahren wählen.
In keinem Fall dürfte bei ordentlicher Planung ein Fazit wie
bei jeglichen Aktionen die gemacht werden erscheint dauernd die Aufforderung der Eingabe eines Administratorkontos
notwendig sein.Überdenkt Eure Konzept und macht Euch mit Softwareverteilung vertraut.
in anbetracht dass dein vorschlag vielleicht der bessere ist aber bei gerade mal 10 Usern werde ich noch keine Gedanken an eine Softwareverteilung verschwenden.
Gewisse User sollen einfache Update wie für JAVA und Adobe selbst machen können.
Geht das ohne Softwareverteilung und ohne das Sie Lokale Administraroren werden?
Gewisse User sollen einfache Update wie für JAVA und Adobe selbst machen können.
Geht das ohne Softwareverteilung und ohne das Sie Lokale Administraroren werden?
Ihr habt doch eine Domäne, warum sträubst Du Dich gegen die domäneneigene Softwareverteilung über GPOs? Die kann Java (JRE) und Adobe Reader als MSI updaten. Wenn Du das nicht willst, musst Du ein Startskript dazu nehmen - aber wozu?
Installationsrechte nur für Programm xy zu vergeben geht nicht.
Installationsrechte nur für Programm xy zu vergeben geht nicht.
Muss ich dann nicht jedesmal wenn Adobe oder Java ein neues Update rausbringen die neue MSI Datei herunteladen, das Script neu schreiben und wieder verteilen lassen? Die Benutzer klicken sich meist wochenlang mit Anmeldefenster herum und dann fällt irgendwann mal so nebenbei die Anmerkung, achja und das funktioniert auch schon seit Wochen nicht richtig, (oder mal wieder nicht) und könnt ihr das nicht endlich mal so machen, dass diese Rechteabfrage nicht jedesmal erscheint wenn ein adobe oder java Update gemacht werden soll. ?
Vorgehen: MSI laden, GPO aufrufen, MSI einpflegen mit der Option das alte MSI (Vorversion) upzugraden. Aufwand: keine 5 Minuten.
