9
Wie bei Windows 7 mit UAC in Domänenumgebung die Installation von JavaUpdate und Browserplugins zulassen
Die Clients in unserem Netz haben Windows 7 mit UAC aktiv. Die Domäne ist auf 2008er Level. Die User haben keine Adminrechte. So ist man bei jedem Java-Update gezwungen, sich aufzuwählen und die UAC Abfrage mit einem Adminkennwort zu bestätigen.
Hallo,
die Windows7 Clients im Haus haben UAC aktiviert und die User haben keien Adminrechte. Dies ist natürlich gut für die Sicherheit, die User sind so aber auch nicht in der Lage, Updates für Java oder bestimmte Browserplugins von internen Softwares zu installieren. Dazu muss sich jedesmal ein Admin aufwählen und die UAC Abfrage mit einem Adminkennwort bestätigen.
Ja, ich könnte Java so konfigurieren, dass keine Updates gemacht werden und versuchen diese per GPO zu verteilen. Dann blieben jedoch die Plugins.
Kann ich nicht das Zertifikat von Java bekommen und dies irgendwie in der Domäne trusten? Wäre dann zur Installation kein Adminrecht mehr notwendig? Das selbe betrifft verschiedene angesprochene Browserplugins, die auch zertifikatbasiert sind. Wie lösen andere Firmen das Problem?
Gruß und danke
Philipp
die Windows7 Clients im Haus haben UAC aktiviert und die User haben keien Adminrechte. Dies ist natürlich gut für die Sicherheit, die User sind so aber auch nicht in der Lage, Updates für Java oder bestimmte Browserplugins von internen Softwares zu installieren. Dazu muss sich jedesmal ein Admin aufwählen und die UAC Abfrage mit einem Adminkennwort bestätigen.
Ja, ich könnte Java so konfigurieren, dass keine Updates gemacht werden und versuchen diese per GPO zu verteilen. Dann blieben jedoch die Plugins.
Kann ich nicht das Zertifikat von Java bekommen und dies irgendwie in der Domäne trusten? Wäre dann zur Installation kein Adminrecht mehr notwendig? Das selbe betrifft verschiedene angesprochene Browserplugins, die auch zertifikatbasiert sind. Wie lösen andere Firmen das Problem?
Gruß und danke
Philipp
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 148245
Url: https://administrator.de/contentid/148245
Printed on: April 19, 2024 at 00:04 o'clock
9 Comments
Latest comment
Moin.
Du schreibst
Das mit dem Zertifikat wird nicht funktionieren bzw. ist nicht so gedacht (oder es wäre mir neu). Wir verteilen JRE per GPO und somit automatisch auch das Browserplugin für IE/Firefox, Updates sind deaktiviert.
Du schreibst
Dann blieben jedoch die Plugins
Was genau meinst Du damit? Installierst Du Java RE (JRE) oder worum geht es?Das mit dem Zertifikat wird nicht funktionieren bzw. ist nicht so gedacht (oder es wäre mir neu). Wir verteilen JRE per GPO und somit automatisch auch das Browserplugin für IE/Firefox, Updates sind deaktiviert.
Hallo DerWoWusste,
also die Geschichte ist so: Wir haben eine ganze Reihe webbasierender Applikationen. Bei manchen Applikationen muss man bis zu 5 oder 6 mal das Adminkennwort eingeben, bis er alle "Plugins" (was auch immer er da genau installiert) installiert hat. Das bei mehreren Webapplikationen, die jedoch alle nicht flächendeckend eingesetzt werden, sondern halt immer weiter (mal heute da 3-5 User, mal morgen bei einer anderen 5-6 neue User dazu) ausgeweitet werden. Man muss sich halt bisher immer bei den Usern aufwählen (VNC) und die Passworteingaben machen. Alternativen wären die Änderungen in eine MSI zu packen (wenn das klappt) und flächendeckend zu verteilen oder irgendwie dem User die Möglichkeit zu geben genau in diesen Fällen als Admin zu fungieren.
Zu meinem Wissensstand: Ich habe eine Schulung für AD und GPO genossen und verteile Software (hauptsächlich Officeprodukte und so Standardsoftware) per GPO. Betriebssysteme verteile ich per WDS. Aber für diese dubiosen Plugins (die sich von Zeit zu Zeit auch aktualisieren - neue Version der Software, man muss bei allen(!) PCs aufwählen und das Kennwort eingeben oder sich halt beugen und Adminrechte geben) habe ich noch nichts passendes gefunden.
Weil ich in allen Fällen gesehen habe, dass man das Herstellerzertifikat einsehen kann (Java und die Plugins der Applikationen), dachte ich es gibt vielleicht einen Weg diese zu trusten. Oder kann ich das UAC für den Zugriff auf bestimmte Teile der Registry abschalten? Ich muss gestehen, dass ich einer der Typen war, der sich durch die Vista Enttäuschung sehr lang vor Win7 versperrt hat und da nun auf die Probleme stoße... Unter XP kommt keine UAC, da klagen die User natürlich nicht. Schlecht natürlich ist, dass jetzt zig Rechner auf einmal auf 7 laufen und einen vor so eine Aufgabe stellen. Ich weiß, Schande über mich, aber man lernt ja aus seinen Fehlern (immer vorbereitet sein).
Danke dir.
also die Geschichte ist so: Wir haben eine ganze Reihe webbasierender Applikationen. Bei manchen Applikationen muss man bis zu 5 oder 6 mal das Adminkennwort eingeben, bis er alle "Plugins" (was auch immer er da genau installiert) installiert hat. Das bei mehreren Webapplikationen, die jedoch alle nicht flächendeckend eingesetzt werden, sondern halt immer weiter (mal heute da 3-5 User, mal morgen bei einer anderen 5-6 neue User dazu) ausgeweitet werden. Man muss sich halt bisher immer bei den Usern aufwählen (VNC) und die Passworteingaben machen. Alternativen wären die Änderungen in eine MSI zu packen (wenn das klappt) und flächendeckend zu verteilen oder irgendwie dem User die Möglichkeit zu geben genau in diesen Fällen als Admin zu fungieren.
Zu meinem Wissensstand: Ich habe eine Schulung für AD und GPO genossen und verteile Software (hauptsächlich Officeprodukte und so Standardsoftware) per GPO. Betriebssysteme verteile ich per WDS. Aber für diese dubiosen Plugins (die sich von Zeit zu Zeit auch aktualisieren - neue Version der Software, man muss bei allen(!) PCs aufwählen und das Kennwort eingeben oder sich halt beugen und Adminrechte geben) habe ich noch nichts passendes gefunden.
Weil ich in allen Fällen gesehen habe, dass man das Herstellerzertifikat einsehen kann (Java und die Plugins der Applikationen), dachte ich es gibt vielleicht einen Weg diese zu trusten. Oder kann ich das UAC für den Zugriff auf bestimmte Teile der Registry abschalten? Ich muss gestehen, dass ich einer der Typen war, der sich durch die Vista Enttäuschung sehr lang vor Win7 versperrt hat und da nun auf die Probleme stoße... Unter XP kommt keine UAC, da klagen die User natürlich nicht. Schlecht natürlich ist, dass jetzt zig Rechner auf einmal auf 7 laufen und einen vor so eine Aufgabe stellen. Ich weiß, Schande über mich, aber man lernt ja aus seinen Fehlern (immer vorbereitet sein).
Danke dir.
Zwei Dinge:
Das worum es wirklich geht, tust Du ab mit
Außerdem schreibst Du, dass es auf xp mit Userrechten geht, wenn ich Dich richtig verstehe. Also sind auf xp alle Poweruser oder gar Admins? Geht ja gar nicht... ;) Und wenn dem jedoch so ist, dann mach doch die 7er zu Admins und schalt die UAC ab - bei xp scheint es ja uch keinen zu stören. Hauptbenutzer können sich problemlos ohne Hackerwissen zu Admins machen, nebenbei betont.
Das worum es wirklich geht, tust Du ab mit
"Plugins" (was auch immer er da genau installiert)
? Das ist doch gerade die Frage. Worum geht es hier? Frag jemanden, der sich damit auskennt, was das ist und was es bei Installation genau tut (kann man zur Not aufzeichnen mit wininstall LE, einer Freeware von scalable software).Außerdem schreibst Du, dass es auf xp mit Userrechten geht, wenn ich Dich richtig verstehe. Also sind auf xp alle Poweruser oder gar Admins? Geht ja gar nicht... ;) Und wenn dem jedoch so ist, dann mach doch die 7er zu Admins und schalt die UAC ab - bei xp scheint es ja uch keinen zu stören. Hauptbenutzer können sich problemlos ohne Hackerwissen zu Admins machen, nebenbei betont.
Hallo,
ich werde morgen bei der Arbeit schauen was er genau installieren will. Werde auch mal beim Hersteller anfragen falls es sich mir nicht erschließt. Es ist mind. 1 ActiveX Plugin. Aber genaueres morgen.
Auf den XP Maschinen sind die User Hauptbenutzer, mache gar Admins - das war uns natürlich ein Dorn im Auge und daher sollte das jetzt anders werden. Dass das nicht das Gelbe vom Ei ist, weiß ich selber. Daher auch das Widerstreben, die UAC einfach abzuschalten bzw. die User zu Admins zu machen.
Wininstall LE habe ich schon in Verbindung mit 7 versucht, jedoch anders als für XP, nicht erfolgreich. Ich nutze ein Snapshot-Tool von AppDeploy. Das funktioniert in den meisten Fällen.
Wie gesagt, danke schonmal für deine Mühe. Einen schönen Abend.
Gruß Philipp
ich werde morgen bei der Arbeit schauen was er genau installieren will. Werde auch mal beim Hersteller anfragen falls es sich mir nicht erschließt. Es ist mind. 1 ActiveX Plugin. Aber genaueres morgen.
Auf den XP Maschinen sind die User Hauptbenutzer, mache gar Admins - das war uns natürlich ein Dorn im Auge und daher sollte das jetzt anders werden. Dass das nicht das Gelbe vom Ei ist, weiß ich selber. Daher auch das Widerstreben, die UAC einfach abzuschalten bzw. die User zu Admins zu machen.
Wininstall LE habe ich schon in Verbindung mit 7 versucht, jedoch anders als für XP, nicht erfolgreich. Ich nutze ein Snapshot-Tool von AppDeploy. Das funktioniert in den meisten Fällen.
Wie gesagt, danke schonmal für deine Mühe. Einen schönen Abend.
Gruß Philipp
Mir ist es fast peinlich, aber normale Screenshots kann man während der Abfrage nicht machen. Das liegt wohl dran, dass 7 diese EIngaben auf dem "admindesktop" ausführt, wie ich gelesen habe. Das erste ist der Java Updater der starten will. Das zweite ist ein DLC Applet und das dritte (das atx.htm) ist im Endeffekt eine atx.cab. Deren Inhalt ist eine atx.inf, eine OCX (ActiveX Steuerelement) und zwei DLLs. Die verteilenden Server sind zwar in der Domäne verwaltet, die Webserver sind jedoch ganz regulär ohne Zertifikat auf Port 8080 bzw. 80.
http://img338.imageshack.us/f/04082010430 ...
http://img831.imageshack.us/f/04082010431 ...
http://img687.imageshack.us/f/04082010432 ...
Ich habe jetzt auch nochmal eine ganze Weile Dr.Google bemüht und bisher nur den Tipp bekommen, die Files einfach mit einem Snapshot Tool zu einem MSI zu packen und zu verteilen. Ich habe es nochmal mehrfach versucht, jedoch ohne Erfolg.
Lösungswege sehe ich nur darin, dass ich entweder irgendwie sagen kann, dass Änderungen die einen ganz bestimmten Bereich der Registry betreffen nich von UAC überwacht werden oder dass ich sage "alles was von Server XYZ kommt, soll ohne Prüfung akzeptiert werden".
Für das Java Update (die User wünschen jetzt auch ihren Firefox updaten zu können) sehe ich auch nur die Möglichkeit das Autoupdating zu deaktivieren und per MSI upzudaten. Lieber wäre es mir da natürlich auch sagen zu können "UAC soll Javaupdate und Firefox Update ohne Adminrechte zulassen"
http://img338.imageshack.us/f/04082010430 ...
http://img831.imageshack.us/f/04082010431 ...
http://img687.imageshack.us/f/04082010432 ...
Ich habe jetzt auch nochmal eine ganze Weile Dr.Google bemüht und bisher nur den Tipp bekommen, die Files einfach mit einem Snapshot Tool zu einem MSI zu packen und zu verteilen. Ich habe es nochmal mehrfach versucht, jedoch ohne Erfolg.
Lösungswege sehe ich nur darin, dass ich entweder irgendwie sagen kann, dass Änderungen die einen ganz bestimmten Bereich der Registry betreffen nich von UAC überwacht werden oder dass ich sage "alles was von Server XYZ kommt, soll ohne Prüfung akzeptiert werden".
Für das Java Update (die User wünschen jetzt auch ihren Firefox updaten zu können) sehe ich auch nur die Möglichkeit das Autoupdating zu deaktivieren und per MSI upzudaten. Lieber wäre es mir da natürlich auch sagen zu können "UAC soll Javaupdate und Firefox Update ohne Adminrechte zulassen"
Hi.
Deine Screenshots sind nicht mehr verfügbar, wie mir scheint.
ActiveX Controls kann man als vertrauenswürdig einstufen und auch signieren und auch ohne Adminrechte installieren lassen. Lies http://technet.microsoft.com/en-us/library/cc505863.aspx
lies auch http://msdn.microsoft.com/en-us/magazine/cc163844.aspx - dort wird empfohlen, MSIs zu packen. Was hat bei Dir nicht geklappt? Nimm wininstall le 10 von scalable software (freeware).
Deine Screenshots sind nicht mehr verfügbar, wie mir scheint.
ActiveX Controls kann man als vertrauenswürdig einstufen und auch signieren und auch ohne Adminrechte installieren lassen. Lies http://technet.microsoft.com/en-us/library/cc505863.aspx
lies auch http://msdn.microsoft.com/en-us/magazine/cc163844.aspx - dort wird empfohlen, MSIs zu packen. Was hat bei Dir nicht geklappt? Nimm wininstall le 10 von scalable software (freeware).
Hallo DerWoWusste,
danke für den Tipp mit dem ActiveX trusten. Das werde ich morgen versuchen.
Inzwischen habe ich noch ein paar (viele) Stunden mit lesen verbracht und alle Ansätze gehen in die Richtung AdobeUpdater, JavaUpdater, FirefoxUpdater zu blocken und die Updates über WSUS / GPO oder sonstiges zu verteilen. Es ist scheinbar nicht möglich dem User die Möglichkeit zu bieten, kein Admin zu sein, aber solche Updater als Admin ausführen zu dürfen - ich konnte zumindest keine finden.
Zum Snapshot-Tool: Ich habe extra eine Win2000 AdvServer CD rausgesucht und WinInstall LE runterkopiert. Ich hatte jedoch das Problem, dass keines der MSI Pakete mit Windows7 (wo ich die auch gesnapt habe) funktioniert hat. Ich nutze nun (nachdem ich noch die eine oder andere Trial getestet habe) das kostenlose Tool von AppDeploy.com. Das funktioniert bei den meisten Dingen ganz gut, nur mit Installern die eigentlich schon MSI Files in der Exe haben kommt er nicht klar. Soweit aber auch kein Problem, man kann die MSI ja aus der Exe nehmen und die dann verteilen. Was jedoch in keinem Fall funktioniert hat, ist dass ich einen "Before-Snap" mache, dann die besagten ActiveX und anderen "Plugins" zu akzeptieren und danach den "After-Snap" zu machen. Er macht mir dann schon eine MSI, die hat ca. 200kb.
Danach lass ich den Rechner per WDS kurz neu installieren um wieder auf den sauberen Stand zu kommen und weise ihm per GPO die MSI zu. Er zieht sie definitiv (RSOP.msc), die Aufforderungen kommen aber trotzdem wenn ich dann eine der betreffenden Web-Applikationen starte.
(Ich bin mal wieder zuhause und habe daher gerade nicht die Möglichkeit die Bilder nochmals hochzuladen.)
EDIT: das scheinbar "neue" WinInstallLE 10 werde ich mir mal anschauen. Danke auch für diesen Tipp.
danke für den Tipp mit dem ActiveX trusten. Das werde ich morgen versuchen.
Inzwischen habe ich noch ein paar (viele) Stunden mit lesen verbracht und alle Ansätze gehen in die Richtung AdobeUpdater, JavaUpdater, FirefoxUpdater zu blocken und die Updates über WSUS / GPO oder sonstiges zu verteilen. Es ist scheinbar nicht möglich dem User die Möglichkeit zu bieten, kein Admin zu sein, aber solche Updater als Admin ausführen zu dürfen - ich konnte zumindest keine finden.
Zum Snapshot-Tool: Ich habe extra eine Win2000 AdvServer CD rausgesucht und WinInstall LE runterkopiert. Ich hatte jedoch das Problem, dass keines der MSI Pakete mit Windows7 (wo ich die auch gesnapt habe) funktioniert hat. Ich nutze nun (nachdem ich noch die eine oder andere Trial getestet habe) das kostenlose Tool von AppDeploy.com. Das funktioniert bei den meisten Dingen ganz gut, nur mit Installern die eigentlich schon MSI Files in der Exe haben kommt er nicht klar. Soweit aber auch kein Problem, man kann die MSI ja aus der Exe nehmen und die dann verteilen. Was jedoch in keinem Fall funktioniert hat, ist dass ich einen "Before-Snap" mache, dann die besagten ActiveX und anderen "Plugins" zu akzeptieren und danach den "After-Snap" zu machen. Er macht mir dann schon eine MSI, die hat ca. 200kb.
Danach lass ich den Rechner per WDS kurz neu installieren um wieder auf den sauberen Stand zu kommen und weise ihm per GPO die MSI zu. Er zieht sie definitiv (RSOP.msc), die Aufforderungen kommen aber trotzdem wenn ich dann eine der betreffenden Web-Applikationen starte.
(Ich bin mal wieder zuhause und habe daher gerade nicht die Möglichkeit die Bilder nochmals hochzuladen.)
EDIT: das scheinbar "neue" WinInstallLE 10 werde ich mir mal anschauen. Danke auch für diesen Tipp.
Klingt witzig:
Ein Berechtigen des Users, bestimmte Dinge mit Adminrechten zu tun, ist mit Bordmitteln nicht vorgesehen. Was dem am nächsten kommt, ist Software publishing: Du stellst eine Software per GPO zur Bedarfsinstallation aus - und dann können tatsächlich auch Nichtadmins diese installieren (indem Windows ihnen ermöglicht, dass sie dazu den Installer Dienst nutzen - deswegen geht das auch nur bei MSI-Paketen). Google also mal nach "software publishing". Obwohl: es ist nichts anderes, als Software nicht Computerobjekten zuzuweisen (also einzupflegen im GPO-Bereich Computerkonfiguration - Software und dies einer OU mit Computerobjekten zuzuweisen), sondern es Userobjekten zuzuweisen und die Software unter Userkonfig. - Software einzustellen. Die auf diese Weise zugewiesene Software finden die User dann im Application wizard (Befehl: appwiz.cpl bzw. unter Systemsteuerung - Software) im Bereich neue Programme vom Netzwerk hinzufügen.
Ich habe extra eine Win2000 AdvServer CD rausgesucht und WinInstall LE runterkopiert
Du hast also extra eine uralt-Software genommen, weil Uralt-Softwares ja meist die kompatibelsten zu Win7 sind? Ja, das klingt durchdacht... nimm's nicht böse auf. Wininstall 10 ist nicht nur scheinbar neu, es ist neu und könnte das Problem lösen.Ein Berechtigen des Users, bestimmte Dinge mit Adminrechten zu tun, ist mit Bordmitteln nicht vorgesehen. Was dem am nächsten kommt, ist Software publishing: Du stellst eine Software per GPO zur Bedarfsinstallation aus - und dann können tatsächlich auch Nichtadmins diese installieren (indem Windows ihnen ermöglicht, dass sie dazu den Installer Dienst nutzen - deswegen geht das auch nur bei MSI-Paketen). Google also mal nach "software publishing". Obwohl: es ist nichts anderes, als Software nicht Computerobjekten zuzuweisen (also einzupflegen im GPO-Bereich Computerkonfiguration - Software und dies einer OU mit Computerobjekten zuzuweisen), sondern es Userobjekten zuzuweisen und die Software unter Userkonfig. - Software einzustellen. Die auf diese Weise zugewiesene Software finden die User dann im Application wizard (Befehl: appwiz.cpl bzw. unter Systemsteuerung - Software) im Bereich neue Programme vom Netzwerk hinzufügen.
Hallo DerWoWusste,
das mit dem "uralt" WinInstall hat folgenden Grund: Mir schien, dass es keine freie Software mehr gibt, die MSI per Snapshot bietet. Da bin ich durch viele Forenbeiträge auf diese gekommen und habe mich auf die Suche nach einer CD gemacht. Mit XP hat sie soweit gut funktioniert - da habe ich auch die ersten Schritte in der Welt von MSI gemacht. Wie gesagt, inzwischen habe ich ein Tool von AppDeploy.com gefunden, welches frei ist. Das von dir vorgeschlagene WinInstallLE 10 werde ich aber auf jeden Fall anschauen.
Software zu publishen statt zu assignen habe ich auch schon versucht. Dass auch Nicht-Admins installieren können, habe ich jedoch nicht bewusst wahrgenommen, danke für den Hinweis.
Ich werde morgen nochmals versuchen die Plugins in ein MSI zu packen und dieses dann zu verteilen bzw. bereitzustellen.
PS: Falls du einen Paypal Account hast, kannst du mir gerne per PN den Accountnamen schicken, dann überweise ich dir gerne 5 Euro für deine Hilfe und die Zeit die du für mich investiert hast!
das mit dem "uralt" WinInstall hat folgenden Grund: Mir schien, dass es keine freie Software mehr gibt, die MSI per Snapshot bietet. Da bin ich durch viele Forenbeiträge auf diese gekommen und habe mich auf die Suche nach einer CD gemacht. Mit XP hat sie soweit gut funktioniert - da habe ich auch die ersten Schritte in der Welt von MSI gemacht. Wie gesagt, inzwischen habe ich ein Tool von AppDeploy.com gefunden, welches frei ist. Das von dir vorgeschlagene WinInstallLE 10 werde ich aber auf jeden Fall anschauen.
Software zu publishen statt zu assignen habe ich auch schon versucht. Dass auch Nicht-Admins installieren können, habe ich jedoch nicht bewusst wahrgenommen, danke für den Hinweis.
Ich werde morgen nochmals versuchen die Plugins in ein MSI zu packen und dieses dann zu verteilen bzw. bereitzustellen.
PS: Falls du einen Paypal Account hast, kannst du mir gerne per PN den Accountnamen schicken, dann überweise ich dir gerne 5 Euro für deine Hilfe und die Zeit die du für mich investiert hast!
