Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Wie bei Windows 7 mit UAC in Domänenumgebung die Installation von JavaUpdate und Browserplugins zulassen

Mitglied: Geocontrol

Geocontrol (Level 1) - Jetzt verbinden

03.08.2010 um 17:15 Uhr, 12156 Aufrufe, 9 Kommentare

Die Clients in unserem Netz haben Windows 7 mit UAC aktiv. Die Domäne ist auf 2008er Level. Die User haben keine Adminrechte. So ist man bei jedem Java-Update gezwungen, sich aufzuwählen und die UAC Abfrage mit einem Adminkennwort zu bestätigen.

Hallo,

die Windows7 Clients im Haus haben UAC aktiviert und die User haben keien Adminrechte. Dies ist natürlich gut für die Sicherheit, die User sind so aber auch nicht in der Lage, Updates für Java oder bestimmte Browserplugins von internen Softwares zu installieren. Dazu muss sich jedesmal ein Admin aufwählen und die UAC Abfrage mit einem Adminkennwort bestätigen.

Ja, ich könnte Java so konfigurieren, dass keine Updates gemacht werden und versuchen diese per GPO zu verteilen. Dann blieben jedoch die Plugins.

Kann ich nicht das Zertifikat von Java bekommen und dies irgendwie in der Domäne trusten? Wäre dann zur Installation kein Adminrecht mehr notwendig? Das selbe betrifft verschiedene angesprochene Browserplugins, die auch zertifikatbasiert sind. Wie lösen andere Firmen das Problem?

Gruß und danke

Philipp
Mitglied: DerWoWusste
03.08.2010 um 21:10 Uhr
Moin.
Du schreibst
Dann blieben jedoch die Plugins
Was genau meinst Du damit? Installierst Du Java RE (JRE) oder worum geht es?

Das mit dem Zertifikat wird nicht funktionieren bzw. ist nicht so gedacht (oder es wäre mir neu). Wir verteilen JRE per GPO und somit automatisch auch das Browserplugin für IE/Firefox, Updates sind deaktiviert.
Bitte warten ..
Mitglied: Geocontrol
03.08.2010 um 21:37 Uhr
Hallo DerWoWusste,

also die Geschichte ist so: Wir haben eine ganze Reihe webbasierender Applikationen. Bei manchen Applikationen muss man bis zu 5 oder 6 mal das Adminkennwort eingeben, bis er alle "Plugins" (was auch immer er da genau installiert) installiert hat. Das bei mehreren Webapplikationen, die jedoch alle nicht flächendeckend eingesetzt werden, sondern halt immer weiter (mal heute da 3-5 User, mal morgen bei einer anderen 5-6 neue User dazu) ausgeweitet werden. Man muss sich halt bisher immer bei den Usern aufwählen (VNC) und die Passworteingaben machen. Alternativen wären die Änderungen in eine MSI zu packen (wenn das klappt) und flächendeckend zu verteilen oder irgendwie dem User die Möglichkeit zu geben genau in diesen Fällen als Admin zu fungieren.

Zu meinem Wissensstand: Ich habe eine Schulung für AD und GPO genossen und verteile Software (hauptsächlich Officeprodukte und so Standardsoftware) per GPO. Betriebssysteme verteile ich per WDS. Aber für diese dubiosen Plugins (die sich von Zeit zu Zeit auch aktualisieren - neue Version der Software, man muss bei allen(!) PCs aufwählen und das Kennwort eingeben oder sich halt beugen und Adminrechte geben) habe ich noch nichts passendes gefunden.

Weil ich in allen Fällen gesehen habe, dass man das Herstellerzertifikat einsehen kann (Java und die Plugins der Applikationen), dachte ich es gibt vielleicht einen Weg diese zu trusten. Oder kann ich das UAC für den Zugriff auf bestimmte Teile der Registry abschalten? Ich muss gestehen, dass ich einer der Typen war, der sich durch die Vista Enttäuschung sehr lang vor Win7 versperrt hat und da nun auf die Probleme stoße... Unter XP kommt keine UAC, da klagen die User natürlich nicht. Schlecht natürlich ist, dass jetzt zig Rechner auf einmal auf 7 laufen und einen vor so eine Aufgabe stellen. Ich weiß, Schande über mich, aber man lernt ja aus seinen Fehlern (immer vorbereitet sein).

Danke dir.
Bitte warten ..
Mitglied: DerWoWusste
03.08.2010 um 21:47 Uhr
Zwei Dinge:
Das worum es wirklich geht, tust Du ab mit
"Plugins" (was auch immer er da genau installiert)
? Das ist doch gerade die Frage. Worum geht es hier? Frag jemanden, der sich damit auskennt, was das ist und was es bei Installation genau tut (kann man zur Not aufzeichnen mit wininstall LE, einer Freeware von scalable software).

Außerdem schreibst Du, dass es auf xp mit Userrechten geht, wenn ich Dich richtig verstehe. Also sind auf xp alle Poweruser oder gar Admins? Geht ja gar nicht... ;) Und wenn dem jedoch so ist, dann mach doch die 7er zu Admins und schalt die UAC ab - bei xp scheint es ja uch keinen zu stören. Hauptbenutzer können sich problemlos ohne Hackerwissen zu Admins machen, nebenbei betont.
Bitte warten ..
Mitglied: Geocontrol
03.08.2010 um 21:53 Uhr
Hallo,

ich werde morgen bei der Arbeit schauen was er genau installieren will. Werde auch mal beim Hersteller anfragen falls es sich mir nicht erschließt. Es ist mind. 1 ActiveX Plugin. Aber genaueres morgen.

Auf den XP Maschinen sind die User Hauptbenutzer, mache gar Admins - das war uns natürlich ein Dorn im Auge und daher sollte das jetzt anders werden. Dass das nicht das Gelbe vom Ei ist, weiß ich selber. Daher auch das Widerstreben, die UAC einfach abzuschalten bzw. die User zu Admins zu machen.

Wininstall LE habe ich schon in Verbindung mit 7 versucht, jedoch anders als für XP, nicht erfolgreich. Ich nutze ein Snapshot-Tool von AppDeploy. Das funktioniert in den meisten Fällen.

Wie gesagt, danke schonmal für deine Mühe. Einen schönen Abend.

Gruß Philipp
Bitte warten ..
Mitglied: Geocontrol
04.08.2010 um 13:58 Uhr
Mir ist es fast peinlich, aber normale Screenshots kann man während der Abfrage nicht machen. Das liegt wohl dran, dass 7 diese EIngaben auf dem "admindesktop" ausführt, wie ich gelesen habe. Das erste ist der Java Updater der starten will. Das zweite ist ein DLC Applet und das dritte (das atx.htm) ist im Endeffekt eine atx.cab. Deren Inhalt ist eine atx.inf, eine OCX (ActiveX Steuerelement) und zwei DLLs. Die verteilenden Server sind zwar in der Domäne verwaltet, die Webserver sind jedoch ganz regulär ohne Zertifikat auf Port 8080 bzw. 80.

http://img338.imageshack.us/f/04082010430 ...
http://img831.imageshack.us/f/04082010431 ...
http://img687.imageshack.us/f/04082010432 ...

Ich habe jetzt auch nochmal eine ganze Weile Dr.Google bemüht und bisher nur den Tipp bekommen, die Files einfach mit einem Snapshot Tool zu einem MSI zu packen und zu verteilen. Ich habe es nochmal mehrfach versucht, jedoch ohne Erfolg.

Lösungswege sehe ich nur darin, dass ich entweder irgendwie sagen kann, dass Änderungen die einen ganz bestimmten Bereich der Registry betreffen nich von UAC überwacht werden oder dass ich sage "alles was von Server XYZ kommt, soll ohne Prüfung akzeptiert werden".
Für das Java Update (die User wünschen jetzt auch ihren Firefox updaten zu können) sehe ich auch nur die Möglichkeit das Autoupdating zu deaktivieren und per MSI upzudaten. Lieber wäre es mir da natürlich auch sagen zu können "UAC soll Javaupdate und Firefox Update ohne Adminrechte zulassen"
Bitte warten ..
Mitglied: DerWoWusste
05.08.2010 um 18:43 Uhr
Hi.
Deine Screenshots sind nicht mehr verfügbar, wie mir scheint.
ActiveX Controls kann man als vertrauenswürdig einstufen und auch signieren und auch ohne Adminrechte installieren lassen. Lies http://technet.microsoft.com/en-us/library/cc505863.aspx
lies auch http://msdn.microsoft.com/en-us/magazine/cc163844.aspx - dort wird empfohlen, MSIs zu packen. Was hat bei Dir nicht geklappt? Nimm wininstall le 10 von scalable software (freeware).
Bitte warten ..
Mitglied: Geocontrol
05.08.2010 um 18:59 Uhr
Hallo DerWoWusste,

danke für den Tipp mit dem ActiveX trusten. Das werde ich morgen versuchen.

Inzwischen habe ich noch ein paar (viele) Stunden mit lesen verbracht und alle Ansätze gehen in die Richtung AdobeUpdater, JavaUpdater, FirefoxUpdater zu blocken und die Updates über WSUS / GPO oder sonstiges zu verteilen. Es ist scheinbar nicht möglich dem User die Möglichkeit zu bieten, kein Admin zu sein, aber solche Updater als Admin ausführen zu dürfen - ich konnte zumindest keine finden.

Zum Snapshot-Tool: Ich habe extra eine Win2000 AdvServer CD rausgesucht und WinInstall LE runterkopiert. Ich hatte jedoch das Problem, dass keines der MSI Pakete mit Windows7 (wo ich die auch gesnapt habe) funktioniert hat. Ich nutze nun (nachdem ich noch die eine oder andere Trial getestet habe) das kostenlose Tool von AppDeploy.com. Das funktioniert bei den meisten Dingen ganz gut, nur mit Installern die eigentlich schon MSI Files in der Exe haben kommt er nicht klar. Soweit aber auch kein Problem, man kann die MSI ja aus der Exe nehmen und die dann verteilen. Was jedoch in keinem Fall funktioniert hat, ist dass ich einen "Before-Snap" mache, dann die besagten ActiveX und anderen "Plugins" zu akzeptieren und danach den "After-Snap" zu machen. Er macht mir dann schon eine MSI, die hat ca. 200kb.
Danach lass ich den Rechner per WDS kurz neu installieren um wieder auf den sauberen Stand zu kommen und weise ihm per GPO die MSI zu. Er zieht sie definitiv (RSOP.msc), die Aufforderungen kommen aber trotzdem wenn ich dann eine der betreffenden Web-Applikationen starte.

(Ich bin mal wieder zuhause und habe daher gerade nicht die Möglichkeit die Bilder nochmals hochzuladen.)

EDIT: das scheinbar "neue" WinInstallLE 10 werde ich mir mal anschauen. Danke auch für diesen Tipp.
Bitte warten ..
Mitglied: DerWoWusste
05.08.2010 um 21:17 Uhr
Klingt witzig:
Ich habe extra eine Win2000 AdvServer CD rausgesucht und WinInstall LE runterkopiert
Du hast also extra eine uralt-Software genommen, weil Uralt-Softwares ja meist die kompatibelsten zu Win7 sind? Ja, das klingt durchdacht... nimm's nicht böse auf. Wininstall 10 ist nicht nur scheinbar neu, es ist neu und könnte das Problem lösen.

Ein Berechtigen des Users, bestimmte Dinge mit Adminrechten zu tun, ist mit Bordmitteln nicht vorgesehen. Was dem am nächsten kommt, ist Software publishing: Du stellst eine Software per GPO zur Bedarfsinstallation aus - und dann können tatsächlich auch Nichtadmins diese installieren (indem Windows ihnen ermöglicht, dass sie dazu den Installer Dienst nutzen - deswegen geht das auch nur bei MSI-Paketen). Google also mal nach "software publishing". Obwohl: es ist nichts anderes, als Software nicht Computerobjekten zuzuweisen (also einzupflegen im GPO-Bereich Computerkonfiguration - Software und dies einer OU mit Computerobjekten zuzuweisen), sondern es Userobjekten zuzuweisen und die Software unter Userkonfig. - Software einzustellen. Die auf diese Weise zugewiesene Software finden die User dann im Application wizard (Befehl: appwiz.cpl bzw. unter Systemsteuerung - Software) im Bereich neue Programme vom Netzwerk hinzufügen.
Bitte warten ..
Mitglied: Geocontrol
05.08.2010 um 21:27 Uhr
Hallo DerWoWusste,

das mit dem "uralt" WinInstall hat folgenden Grund: Mir schien, dass es keine freie Software mehr gibt, die MSI per Snapshot bietet. Da bin ich durch viele Forenbeiträge auf diese gekommen und habe mich auf die Suche nach einer CD gemacht. Mit XP hat sie soweit gut funktioniert - da habe ich auch die ersten Schritte in der Welt von MSI gemacht. Wie gesagt, inzwischen habe ich ein Tool von AppDeploy.com gefunden, welches frei ist. Das von dir vorgeschlagene WinInstallLE 10 werde ich aber auf jeden Fall anschauen.

Software zu publishen statt zu assignen habe ich auch schon versucht. Dass auch Nicht-Admins installieren können, habe ich jedoch nicht bewusst wahrgenommen, danke für den Hinweis.
Ich werde morgen nochmals versuchen die Plugins in ein MSI zu packen und dieses dann zu verteilen bzw. bereitzustellen.

PS: Falls du einen Paypal Account hast, kannst du mir gerne per PN den Accountnamen schicken, dann überweise ich dir gerne 5 Euro für deine Hilfe und die Zeit die du für mich investiert hast!
Bitte warten ..
Ähnliche Inhalte
Windows Installation

Windows 7 Installation nicht möglich

Frage von Jabberwocky86Windows Installation8 Kommentare

Hallo zusammen Ich bin gerade mit meinem Latein am Ende und dachte vielleicht habt ihr noch eine gute Idee. ...

Windows Server

Installation von geräten mit diesen geräte-ids zulassen

gelöst Frage von Marcel1989Windows Server5 Kommentare

Ich hab einfach die Frage was kann ich da in der Liste bei den Microsoft GPO´s alles eingeben? gehen ...

Windows Server

Mapping von Laufwerken in einer Domänenumgebung

Frage von IviewWindows Server5 Kommentare

Hallo liebe Mitglieder, ich habe hier schon so manches Problem lösen können und denke, dass dies auch diesmal klappt. ...

Windows 7

Windows 7 - Updates in die Installation integrieren

Frage von MartinADWindows 77 Kommentare

Hallo Zusammen. Ich habe folgende Frage: Wir setzen bei uns im Unternehmen Windows 7 x64Bit Enterprise ein. Nun ist ...

Neue Wissensbeiträge
Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 12 StundenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 17 StundenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Microsoft Office

MS Office 2019 ohne OneNote - OneNote App speichert nur in Cloud

Information von Deepsys vor 1 TagMicrosoft Office5 Kommentare

Microsoft zeigt deutlich wohin alles bei Ihnen geht, OneNote 2019 wird es nicht mehr geben, und die Windows 10 ...

Humor (lol)

Warum man sein Gast-WLAN nicht beliebig nennen sollte

Erfahrungsbericht von Henere vor 2 TagenHumor (lol)5 Kommentare

Servus, mal was aus dem Alltag. Zu Hause. Eigentlich wollte ich nur einen weiteren WLAN-AP ins Netz bringen, damit ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Server SSD: NVMe PCIe 3.0 RAID?
Frage von bouneeFestplatten, SSD, Raid15 Kommentare

Hallo liebe Admins, mir stellt sich gerade die Frage, ob ein neuer Server mit SSD NVMe PCIe 3.0 Sinn ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Windows 10
Windows 10 Startmenü-Einstellungen Systemweit festlegen
Frage von flotautWindows 1013 Kommentare

Guten Morgen liebe Admins, wir möchten bei uns am Lehrstuhl demnächst auf Windows 10 umsteigen. Wir installieren unsere PC's ...

LAN, WAN, Wireless
OpenVPN Client Fehlermeldungen
Frage von chris84LAN, WAN, Wireless12 Kommentare

Hallo Zusammen, wir nutzen seit kurzem einen neuen Router und den OpenVPN Client. Die VPN Verbindung klappt; allerdings kommen ...