64965
Jul 20, 2009, updated at 12:44:07 (UTC)
10559
11
1
Softwareinstallation authentifizierter Benutzern erlauben
Hi,
ich habe Software über Gruppenrichtlinien bereitgestellt. Zwar werden die zugewiesenen Programme installiert aber für die Installation der Veröffentlichten Programme benötigt man z.T. immer noch Administratorrechte.
Wie kann ich das umgehen (ohne die Benutzer zu Domänen-Admins zu machen)?
Danke und Gruß
ich habe Software über Gruppenrichtlinien bereitgestellt. Zwar werden die zugewiesenen Programme installiert aber für die Installation der Veröffentlichten Programme benötigt man z.T. immer noch Administratorrechte.
Wie kann ich das umgehen (ohne die Benutzer zu Domänen-Admins zu machen)?
Danke und Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 120862
Url: https://administrator.de/contentid/120862
Printed on: April 16, 2024 at 20:04 o'clock
11 Comments
Latest comment
Setups sind zum Teil sehr unintelligent. Manche fragen ab, ob es sich bei dem Benutzer um ein Konto der Gruppe Administratoren handelt (und vergessen das Systemkonto), andere fragen sogar nur "bist Du das Konto 'Administrator'?" und vergessen dabei sowohl das Systemkonto als mögliches Konto als auch die anderen Konten der lokalen Admingruppe.
In diesem Fall hast Du verloren, kein Ausweg.
Jedoch ist mir das bei MSI-Paketen seit x Jahren nicht mehr untergekommen. Beschreib im Zweifelsfall nochmal exakt, wie Du veröffentlichst.
In diesem Fall hast Du verloren, kein Ausweg.
Jedoch ist mir das bei MSI-Paketen seit x Jahren nicht mehr untergekommen. Beschreib im Zweifelsfall nochmal exakt, wie Du veröffentlichst.
Wir haben eine Firmen-OU die in 2 weitere OU's (Benutzer und Computer) unterteilt ist. Weitere Unterteilungen machen in unserem Unternehmen keinen Sinn.
Ich habe 2 Gruppenrichtlinien erstellt und diese der Firmen-OU zugeteilt.
1. Gruppenrichtlinie: Softwareverteilung
2. Gruppenrichtlinie: Softwareverteilung - neue Mitarbeiter
Das 1. GPO "veröffentlicht" alle Programme. Hier sollen die Mitarbeiter eigentlich die freie Auswahl aus einem Softwarepool haben und selbst entscheiden was sie installieren wollen und was nicht.
Nur das geht leider nicht. Es handelt sich um normale Domänen Benutzer. Programme wie zB WinMerge, die keine msi-Datei während der Installation erstellen, installiere ich über sog. zab Dateien. Aber auch Winamp oder Tighvnc (hier ist eine msi Datei vorhanden) meckern, dass sie entweder keine Rechte haben auf C:\Programme\[PROGRAMM] haben oder man als Administrator eingeloggt sein muss, um das Programm zu installieren.
Habe heute morgen auch schon versucht, die Veröffentlichten Programm über die Computer zur Verfügung zu stellen. Allerdings werden sie dann nicht mehr unter Start --> Systemsteuerung --> Software --> neue Programme hinzufügen angezeigt
Ich habe 2 Gruppenrichtlinien erstellt und diese der Firmen-OU zugeteilt.
1. Gruppenrichtlinie: Softwareverteilung
2. Gruppenrichtlinie: Softwareverteilung - neue Mitarbeiter
Das 1. GPO "veröffentlicht" alle Programme. Hier sollen die Mitarbeiter eigentlich die freie Auswahl aus einem Softwarepool haben und selbst entscheiden was sie installieren wollen und was nicht.
Nur das geht leider nicht. Es handelt sich um normale Domänen Benutzer. Programme wie zB WinMerge, die keine msi-Datei während der Installation erstellen, installiere ich über sog. zab Dateien. Aber auch Winamp oder Tighvnc (hier ist eine msi Datei vorhanden) meckern, dass sie entweder keine Rechte haben auf C:\Programme\[PROGRAMM] haben oder man als Administrator eingeloggt sein muss, um das Programm zu installieren.
Habe heute morgen auch schon versucht, die Veröffentlichten Programm über die Computer zur Verfügung zu stellen. Allerdings werden sie dann nicht mehr unter Start --> Systemsteuerung --> Software --> neue Programme hinzufügen angezeigt
Um auf eine gemeinsame Basis zu kommen: Lad Dir das kleine MSI-Paket von 7-zip runter und veröffentliche das für Benutzer (veröffentlicht wird stets für Benutzer). Wir nutzen das unter anderem und es geht problemlos.
Alles klar hab ich gemacht. Läuft auch. Brauch keine Adminrechte, alles wunderbar. Aber damit du nachvollziehen kannst hier noch eine Liste der Programme und Status darüber wo das Problem liegt:
notepad++ geht
7zip geht
excel viewer geht
power point viewer IE5 oder höher verlangt <-- ist aber eigentlich installiert O_o
word viewer geht
ghostscript keine rechte auf REG --> geht nicht
freePDF verlangt adminrechte --> geht nicht
firefox geht
flashplayer verlangt adminrechte--> geht nicht
acrobat reader geht
winmerge // verlangt adminrechte --> geht nicht
So, warum ?! Bzw wie kann ich das umgehen?
Grüße
notepad++ geht
7zip geht
excel viewer geht
power point viewer IE5 oder höher verlangt <-- ist aber eigentlich installiert O_o
word viewer geht
ghostscript keine rechte auf REG --> geht nicht
freePDF verlangt adminrechte --> geht nicht
firefox geht
flashplayer verlangt adminrechte--> geht nicht
acrobat reader geht
winmerge // verlangt adminrechte --> geht nicht
So, warum ?! Bzw wie kann ich das umgehen?
Grüße
Du machst nichts verkehrt. Einige MSIs sind nicht dafür vorgesehen, userbezogen iunstalliert zu werden - ich hab mich gerade daran erinnert, dass ich das auch schonmal hatte und mich ausgiebig informiert habe. Es geht schlicht nicht.
Du kannst lediglich computergebunden automatisch installieren lassen, eine Bedarfsinstallation geht nicht immer.
Du kannst lediglich computergebunden automatisch installieren lassen, eine Bedarfsinstallation geht nicht immer.
Noch was: Du schreibst über .zap-Dateien - Diese werden nicht mit erhöhten Rechnten installiert, das muß Dir klar sein (siehe http://support.microsoft.com/kb/231747/en-us) - kein Wunder, dass die bei Nichtadmins fehlschlagen.
Danke für den Link!
Von mir auch noch was: kann man denn nicht mit Orca oder einem anderen MSI Editor festlegen, dass keine Adminrechte für die Installation benötigt werden?
Von mir auch noch was: kann man denn nicht mit Orca oder einem anderen MSI Editor festlegen, dass keine Adminrechte für die Installation benötigt werden?
Hm und noch ne andere (wahrscheinlich viel zu komplizierte und unsaubere Art) Frage:
Kann ich mit der *.zap Datei nicht auch ne Batch aufrufen, die die *.exe als Admin ausführt ?!
Kann ich mit der *.zap Datei nicht auch ne Batch aufrufen, die die *.exe als Admin ausführt ?!
Bessere Lösung: Nutze einen MSI Wrapper: WIWW von VinsVision - der packt Dir Batches in eine MSI-Datei. Die Batches müssen dann die Form
<Pfad>setup.exe /silent
haben (silent/quiet/s - was auch immer der richtige Parameter ist)
<Pfad>setup.exe /silent
haben (silent/quiet/s - was auch immer der richtige Parameter ist)
So,
ich danke dir!! Hab ne wasserdichte Lösung für das alles gefunden!
Der WIWW ist eine super Hilfe!
Also: Ich habe mit Hilfe von Autoit (hatte das Tool schon fast wieder vergessen) kleine Scripte zu den einzelnen Programmen geschrieben.
-- Start --
Local $sUserName = "Administrator"
Local $sPassword = "[passwort]"
Local $sDomain = "[domäne]"
RunAs($sUserName, $sDomain, $sPassword, 0, "\\server\pfad\zum\programm\setup.exe")
-- Stop --
Habe dieses Script kompiliert und so eine *.exe erhalten. Somit ist auch das PW nicht mehr herauszufinden.
Mit WIWW habe ich dann eine MSI Datei erstellt, die im Prinzip die oben kompilierte *.exe aufruft und die Installation mit Adminrechten startet.
Das beste ist, das ich (anders wie bei den *.zab Dateien) die Möglichkeit habe, die MSI Datei zuzuweisen und zu veröffentlichen.
Thema erledigt! Hat jetzt aber auch lange genug gedauert ^^
Danke für die Hilfe
Grüße cphowdy
ich danke dir!! Hab ne wasserdichte Lösung für das alles gefunden!
Der WIWW ist eine super Hilfe!
Also: Ich habe mit Hilfe von Autoit (hatte das Tool schon fast wieder vergessen) kleine Scripte zu den einzelnen Programmen geschrieben.
-- Start --
Local $sUserName = "Administrator"
Local $sPassword = "[passwort]"
Local $sDomain = "[domäne]"
RunAs($sUserName, $sDomain, $sPassword, 0, "\\server\pfad\zum\programm\setup.exe")
-- Stop --
Habe dieses Script kompiliert und so eine *.exe erhalten. Somit ist auch das PW nicht mehr herauszufinden.
Mit WIWW habe ich dann eine MSI Datei erstellt, die im Prinzip die oben kompilierte *.exe aufruft und die Installation mit Adminrechten startet.
Das beste ist, das ich (anders wie bei den *.zab Dateien) die Möglichkeit habe, die MSI Datei zuzuweisen und zu veröffentlichen.
Thema erledigt! Hat jetzt aber auch lange genug gedauert ^^
Danke für die Hilfe
Grüße cphowdy
