Win7 Updates mit normalem User installieren

Computer: Software & Programmierung Windows
#1

Hallöchen
Ich arbeite in einem Grosskonzern mit einer „normalen“ Domäne im Hintergrund. Einige arbeiten im Aussendienst, sind somit nie an unserer Domäne und beziehen ergo auch die Win7 Updates nicht über unseren Update-Server, sondern aus dem Netz. Diese AD-MA Accounts haben KEINE administrativen Rechte, verfügen aber über das Admin PWD für Notfälle oder Installationen. Ich möchte nun diese Geräte so konfigurieren, dass sie sämtliche Updates OHNE Admin Rechte installieren können. Zum Verständnis: „Tool zum entfernen von bösartiger Software“(KB890830) verlangt eine Lizenbestätigung mit Adminrechten und verweist auf den Administrator. Ebenfalls geht das Updaten auf den IE9 nur mit Adminrechten. Gibt es eine Möglichkeit, diese Geräte so zu konfigurieren oder muss ich diese zwingend (weil Lizenzen bestätigt oder Veränderungen am System vorgenommen werden) mit dem Admin installieren (lassen)? Es geht mir hier in erster Linie um eine Erleichterung für die Benutzer, da dass Admin PWD doch sehr komplex ist ;o)

Mit vorneweg schon für alle Antworten
dankenden Grüssen
Muldi

#2

Hallo Muldi,

Ich kenne die Problematik, da wir auch spezielle Software entwickeln, die man meist nur mit Adminberechtigung installieren oder ausführen kann.

Zunächst einmal stellt sich mir die Frage ob du die group policies (=GP) so gesetzt hast, dass ein User „offline“ trotzdem durch die GP gehindert wird unter seinem eigenen Konto irgend eine Software zu installieren.

Die zweite Alternative wäre einen Windowsdienst hierfür in Betrieb zu nehmen, der als „Admin“ einmal instaliert wird und dann durch seine Berechtigung entsprechende Setups ohne User-Interface installiert.

Powershell wäre da sicherlich ebenfalls recht nützlich, nur da kann ich Dir nicht weiter helfen. Ich kenne mich dazu nicht gut genug aus. Ein Freund von mir arbeitet als Berater bei einem Spezialteam von Microsoft in Deutschland.

Ich habe nämlich aus der Erfahrung heraus eher kaum möglichkeit dir hier online zu helfen. Sowas muss man vorort prüfen und dann entsprechend Skripten.

Wenn Du den Kontakt zu meinem Freund brauchst, kann ich deine Kontaktdaten an ihn weiterreichen. Er ist in München ansässig, aber reist als Powershell Top Experte viel in der BRD.

#3

Hallo Chrisbeam

Vielen dank erstmal für Deine schnelle Antwort.
Ich fange mal hinten mit meinen Antworten an.
Da ich aus der Schweiz komme, kommt ein Kontakt mit deinem Freund wohl eher weniger in Frage ;o)
Powershell wäre sicherlich eine Variante, jedoch ist das Aufwand/Nutzen Verhältnis doch eher etwas zu gross, denke ich mir.
Das mit dem Windowsdienst wäre sicherlich zu überlegen, jedoch habe ich persönlich sehr wenig Erfahrung damit.
Am symphatischten wäre es mir schon, die Einstellungen über die lokale Policy vornehmen zu können. Ich muss vielleicht noch erwähnen, dass wir die No Domain Geräte eigentlich wie „normale“ Geräte aufsetzen. Der Benutzer wird allerdings aus Sicherheitsgründen aus der Admingruppe in die Benutzergruppe verschoben, damit keine „unüberlegten Fehlmanipulationen“ durch die Benutzer vorgenommen werden. Deshalb möchte ich gerne auch nur die Windows Updates ohne Adminrechte durch den User installieren lassen, weil meines Erachtens nach diese so oder so zu installieren sind. Es gibt in der lokalen Policy auch eine Einstellung welchem jedem User erlaubt Updates zu installieren, welchen KEINE Lizenvereinbarungen oder Änderungen am System vornehmen und aber genau solche würde gerne den normalen Benutzer installieren lassen. Wenn es aber diese Möglichkeit nicht gibt, dann muss der Benutzer wohl oder übel in den sauren Apfel beissen und gewisse Updates halt wirklich mit dem Administrator installieren…

#4

Hallo Muldi,

leider kann ich dir dabei nicht helfen.

Gruß
Hannes

#5

Grüss Dich Hannes
Kein Problem, aber danke trotzdem für eine Antwort,
was leider nicht mehr selbstverständlich bei W-W-W …

Gruss Muldi

#6

Coole Fragen. Ich habe noch keine Lösung gesehen. Geht evtl. noch der Trick eine Datei über den Sheduler zu starten und so das UAC zu umgehen?

cu

#7

Hallo Michael

Grüss Dich und Danke für den möglichen Tipp. Eigentlich habe ich gehofft, ich kann das über die loklae Policy regeln. Doch so wie es aussieht werden sich die Benutzer wohl oder übel mit dem Administrator einloggen müssen, um solche Updates installieren zu können. Eventuell aber werd ich wohl mal noch bei Microsoft direkt nachhaken ;o)

s`Grüssle
Muldi