Permitir que aplicaciones específicas de Windows se actualicen desde una cuenta de usuario sin derechos de administrador local

tag-icon tag-icon windows windows-8.1 installation administrator
Permitir que aplicaciones específicas de Windows se actualicen desde una cuenta de usuario sin derechos de administrador local

Estoy administrando una pequeña red de aproximadamente 15 computadoras/usuarios de Windows 8.1. Ninguno de estos usuarios tiene derechos de administrador local (porque no quiero pasar las 24 horas del día eliminando virus y malware de las computadoras)

Utilizamos un softphone para comunicarnos de una empresa llamada 8x8. El software es excelente y NO requiere derechos de administrador para ejecutarse; sin embargo, publican nuevas versiones aproximadamente una vez al mes. Cuando esto sucede, para actualizar el software a la última versión, tengo que ir físicamente a la computadora y usar una contraseña de administrador local para permitir que se realice la actualización.

Espero que haya una manera de "confiar" o "lista blanca" en un programa en ejecución específico para permitir que ese programa se actualice directamente desde la cuenta de usuario local (que no tiene acceso de administrador)

Por si sirve de algo, este software específico busca actualizaciones e inicia la actualización desde (lo que me parece) estar dentro del programa. Es decir, no tengo que ir a un sitio web, descargar un archivo .exe y ejecutarlo. Si este fuera el caso, puedo ver dónde podría ser más difícil, ya que dudo que haya una manera de incluir en la lista blanca un determinado archivo .exe por nombre o algo así.

¿Algunas ideas?

Respuesta1

Puede utilizar el kit de herramientas de compatibilidad de aplicaciones para incluir una aplicación en la lista blanca para que no requiera derechos administrativos para ejecutarse... a veces. El proceso es bastante simple, pero dependiendo de cómo maneje las cosas la aplicación, no siempre funciona. Aquí hay un recorrido aproximado del proceso:

  1. Instale el software que desea incluir en la lista blanca en una computadora.
  2. Descargue e instale el kit de herramientas de compatibilidad de aplicaciones apropiado (para usted, sería Windows 8.1 ACT) en la misma computadora.
  3. Inicie el kit de herramientas de compatibilidad adecuado: ya sea el kit de herramientas x86 si necesita incluir en la lista blanca una aplicación de 32 bits o el kit de herramientas x64 para 64 bits.
  4. Cree una base de datos y agréguele una nueva "Solución de aplicación".
  5. Siga las indicaciones de "Solución de aplicaciones" para seleccionar la aplicación y completar los detalles correspondientes. Lo importante es configurar el "Modo de compatibilidad" en "runAsInvoker". Esto efectivamente incluye la aplicación en la lista blanca... generalmente.
  6. En el paso final de crear la "Solución de la aplicación", se mostrará una gran cantidad de información sobre la aplicación que utilizará para "hacer coincidir" la regla. Si desea que esto siga funcionando en un programa que se actualiza periódicamente, deberá eliminar cualquier campo que haga referencia a un número de versión (después de todo, la versión cambiará/debería cambiar después de las actualizaciones).
  7. Una vez terminado, guarda la base de datos como un archivo "SDB".
  8. Instale el archivo "SDB" en cada computadora usando el siguiente comando:sdbinst {Local path to sdb file}

  9. Sugiero usar la Política de grupo para crear una carpeta en la máquina local, copiar el archivo SDB más un script y ejecutar el script durante el inicio de la computadora. En ese caso, su script deberá desinstalar el archivo SDB existente usando el indicador 'n' e instalarlo silenciosamente usando el indicador 'q'. Los comandos para esto serían:

    1. sdbinst -n "database-name"
    2. sdbinst -q {Local path to SDB file}

Dicho eso,Este proceso no funcionará cuando una aplicación descarga archivos, los descomprime y luego intenta iniciar otra aplicación contenida en los archivos descomprimidos.(después de todo, esa es una aplicación diferente en lo que respecta a la computadora). Puede solucionar este problema obteniendo los archivos de actualización, implementándolos en una carpeta particular en la computadora local (las carpetas en red no funcionarán, ya que la aplicación se copiará en una carpeta temporal en la computadora local antes de iniciarse) y actualizando su lista blanca para señalar las aplicaciones de actualización apropiadas.

Esto tampoco funcionará para algunas aplicaciones.Dependiendo de qué tan bien o mal esté configurada la aplicación, es posible que no tenga más remedio que otorgar a los usuarios necesarios acceso de administrador local para las computadoras que ejecutan esos archivos. Tengo ese problema con un horrible software de fabricación (desde el punto de vista de la gestión de TI) que no tenemos más remedio que utilizar.

He utilizado con éxito este proceso para aplicaciones como UPS World Ship, que publica periódicamente actualizaciones que requieren derechos de administrador. Este proceso no ha funcionado para software como Sage 50 Accounting que empaqueta archivos de actualización individuales que son solo envoltorios para archivos de actualización adicionales que intentan ejecutarse desde ubicaciones de carpetas temporales...

Entonces, la conclusión es que, aunque esta es una posible solución para incluir una aplicación en la lista blanca para usuarios que no son administradores, su kilometraje variará de una aplicación a otra. Aparte de esto, está buscando algún software de administración de aplicaciones que también se encargue de enviar actualizaciones... lo que puede ser demasiado costoso (o simplemente excesivo) para una pequeña empresa.

Referencia:Eliminación de indicaciones de UAC con el kit de herramientas de compatibilidad

información relacionada