Erlauben Sie bestimmten Windows-Anwendungen, Updates von einem Benutzerkonto ohne lokale Administratorrechte durchzuführen

tag-icon tag-icon windows windows-8.1 installation administrator
Erlauben Sie bestimmten Windows-Anwendungen, Updates von einem Benutzerkonto ohne lokale Administratorrechte durchzuführen

Ich verwalte ein kleines Netzwerk mit etwa 15 Windows 8.1-Computern/Benutzern. Keiner dieser Benutzer hat lokale Administratorrechte (weil ich nicht 24 Stunden am Tag damit verbringen möchte, Viren und Malware von den Computern zu entfernen).

Wir verwenden zur Kommunikation ein Softphone von einer Firma namens 8x8. Die Software ist großartig und erfordert KEINE Administratorrechte, um ausgeführt zu werden. Allerdings werden etwa einmal im Monat neue Versionen veröffentlicht. In diesem Fall muss ich, um die Software auf die neueste Version zu aktualisieren, physisch zum Computer gehen und ein lokales Administratorkennwort verwenden, damit das Upgrade durchgeführt werden kann.

Ich hoffe, dass es eine Möglichkeit gibt, einem bestimmten laufenden Programm grundsätzlich zu „vertrauen“ oder es auf eine „Whitelist“ zu setzen, um zu ermöglichen, dass dieses Programm direkt vom lokalen Benutzerkonto (das keinen Administratorzugriff hat) aktualisiert werden kann.

Diese spezielle Software sucht tatsächlich nach Updates und startet das Update (wie es mir scheint) innerhalb des Programms. Das heißt, ich muss nicht auf eine Website gehen, eine EXE-Datei herunterladen und ausführen. Wenn dies der Fall wäre, könnte ich mir vorstellen, dass es schwieriger wäre, da ich bezweifle, dass es eine Möglichkeit gibt, eine bestimmte EXE-Datei nach Namen oder so etwas auf die Whitelist zu setzen.

Irgendwelche Ideen?

Antwort1

Sie können das Application Compatibility Toolkit verwenden, um eine Anwendung auf die Whitelist zu setzen, sodass für die Ausführung keine Administratorrechte erforderlich sind ... manchmal. Der Vorgang ist ziemlich einfach, aber je nachdem, wie die Anwendung die Dinge handhabt, funktioniert er nicht immer. Hier ist eine grobe Anleitung des Vorgangs:

  1. Installieren Sie die Software, die Sie auf die Whitelist setzen möchten, auf einem Computer.
  2. Laden Sie das entsprechende Application Compatibility Toolkit (für Sie wäre das Windows 8.1 ACT) herunter und installieren Sie es auf demselben Computer.
  3. Starten Sie das entsprechende Kompatibilitäts-Toolkit – entweder das x86-Toolkit, wenn Sie eine 32-Bit-Anwendung auf die Whitelist setzen müssen, oder das x64-Toolkit für 64 Bit.
  4. Erstellen Sie eine Datenbank und fügen Sie ihr einen neuen „Application Fix“ hinzu.
  5. Folgen Sie den Anweisungen von „Application Fix“, um die Anwendung auszuwählen und die entsprechenden Angaben zu machen. Wichtig ist, den „Kompatibilitätsmodus“ auf „runAsInvoker“ einzustellen. Dadurch wird die Anwendung effektiv auf die Whitelist gesetzt … normalerweise.
  6. Im letzten Schritt der Erstellung des „Anwendungsfixes“ werden eine Reihe von Informationen zur Anwendung angezeigt, die zum „Abgleichen“ der Regel verwendet werden. Wenn dies bei einem Programm, das regelmäßig aktualisiert wird, weiterhin funktionieren soll, müssen Sie alle Felder entfernen, die auf eine Versionsnummer verweisen (schließlich wird/sollte sich die Version nach Updates ändern).
  7. Sobald Sie fertig sind, speichern Sie die Datenbank als „SDB“-Datei.
  8. Installieren Sie die Datei „SDB“ auf jedem Computer mit dem folgenden Befehl:sdbinst {Local path to sdb file}

  9. Ich schlage vor, mithilfe der Gruppenrichtlinie einen Ordner auf dem lokalen Computer zu erstellen, die SDB-Datei und ein Skript dorthin zu kopieren und das Skript beim Hochfahren des Computers auszuführen. In diesem Fall muss Ihr Skript die vorhandene SDB-Datei mit dem Flag „n“ deinstallieren und mit dem Flag „q“ im Hintergrund installieren. Die Befehle hierfür wären:

    1. sdbinst -n "database-name"
    2. sdbinst -q {Local path to SDB file}

Das gesagt,Dieser Vorgang funktioniert nicht, wenn eine Anwendung Dateien herunterlädt, diese entpackt und dann versucht, eine andere Anwendung zu starten, die in den entpackten Dateien enthalten ist(für den Computer handelt es sich dabei immerhin um eine andere Anwendung). Sie können dies umgehen, indem Sie die Update-Dateien abrufen, sie in einem bestimmten Ordner auf dem lokalen Computer bereitstellen (vernetzte Ordner funktionieren nicht, da die Anwendung vor dem Start in einen temporären Ordner auf dem lokalen Computer kopiert würde) und Ihre Whitelist aktualisieren, sodass sie auf die entsprechenden Update-Anwendungen verweist.

Bei einigen Anwendungen funktioniert dies auch einfach nicht.Je nachdem, wie gut oder schlecht die Anwendung eingerichtet ist, bleibt Ihnen möglicherweise keine andere Wahl, als den erforderlichen Benutzern lokalen Administratorzugriff auf die Computer zu gewähren, auf denen diese Dateien ausgeführt werden. Ich habe dieses Problem mit einer schrecklichen Fertigungssoftware (aus Sicht des IT-Managements), die wir unbedingt verwenden müssen.

Ich habe diesen Prozess erfolgreich für Anwendungen wie UPS World Ship verwendet, die regelmäßig Updates bereitstellen, für die Administratorrechte erforderlich sind. Dieser Prozess hat bei Software wie Sage 50 Accounting nicht funktioniert, die einzelne Update-Dateien verpackt, die nur Wrapper für zusätzliche Update-Dateien sind, die alle versuchen, von temporären Ordnern aus ausgeführt zu werden ...

Unterm Strich ist dies zwar eine mögliche Lösung, um eine Anwendung für Nicht-Administratoren auf die Whitelist zu setzen, aber die Ergebnisse werden von Anwendung zu Anwendung unterschiedlich ausfallen. Abgesehen davon suchen Sie nach einer Anwendungsverwaltungssoftware, die auch das Verteilen von Updates übernimmt ... was für ein kleines Unternehmen zu teuer (oder schlicht übertrieben) sein kann.

Referenz:Entfernen von UAC-Eingabeaufforderungen mit dem Compatability Toolkit

verwandte Informationen