로컬 관리자 권한 없이 특정 Windows 응용 프로그램이 사용자 계정에서 업데이트되도록 허용

tag-icon tag-icon windows windows-8.1 installation administrator
로컬 관리자 권한 없이 특정 Windows 응용 프로그램이 사용자 계정에서 업데이트되도록 허용

저는 약 15대의 Windows 8.1 컴퓨터/사용자로 구성된 소규모 네트워크를 관리하고 있습니다. 이들 사용자 중 누구도 로컬 관리자 권한을 갖고 있지 않습니다(컴퓨터에서 바이러스 및 맬웨어를 제거하는 데 하루 24시간을 소비하고 싶지 않기 때문입니다).

우리는 8x8이라는 회사의 통신용 소프트폰을 사용합니다. 소프트웨어는 훌륭하고 실행하는 데 관리자 권한이 필요하지 않지만 한 달에 한 번 정도 새 릴리스를 출시합니다. 이런 일이 발생하면 소프트웨어를 최신 버전으로 업그레이드하려면 물리적으로 컴퓨터로 가서 로컬 관리자 비밀번호를 사용하여 업그레이드가 이루어지도록 해야 합니다.

특정 실행 프로그램을 기본적으로 "신뢰"하거나 "허용 목록"에 추가하여 해당 프로그램을 로컬 사용자 계정(관리자 액세스 권한이 없는 사용자)에서 직접 업그레이드할 수 있는 방법이 있기를 바랍니다.

그만한 가치가 있기 때문에 이 특정 소프트웨어는 업데이트를 확인하고 (나에게 보이는 것에서) 프로그램 내부에서 업데이트를 시작합니다. 즉, 웹사이트에 가서 .exe 파일을 다운로드하고 실행할 필요가 없습니다. 이 경우 특정 .exe 파일을 이름 등으로 화이트리스트에 추가하는 방법이 있는지 의심스럽기 때문에 어디가 더 어려울 수 있는지 알 수 있습니다.

어떤 아이디어가 있나요?

답변1

Application Compatibility Toolkit을 사용하면 때때로 실행하는 데 관리 권한이 필요하지 않도록 응용 프로그램을 화이트리스트에 추가할 수 있습니다. 프로세스는 매우 간단하지만 애플리케이션이 처리하는 방식에 따라 항상 작동하는 것은 아닙니다. 프로세스를 대략적으로 살펴보면 다음과 같습니다.

  1. 화이트리스트에 추가하려는 소프트웨어를 컴퓨터에 설치하십시오.
  2. 동일한 컴퓨터에 적절한 Application Compatibility Toolkit(Windows 8.1 ACT)을 다운로드하여 설치합니다.
  3. 적절한 호환성 도구 키트(32비트 응용 프로그램을 화이트리스트에 추가해야 하는 경우 x86 도구 키트 또는 64비트용 x64 도구 키트)를 실행합니다.
  4. 데이터베이스를 생성하고 여기에 새로운 "응용 프로그램 수정"을 추가하십시오.
  5. "응용 프로그램 수정" 프롬프트에 따라 응용 프로그램을 선택하고 적절한 세부 정보를 입력합니다. 중요한 것은 "호환성 모드"를 "runAsInvoker"로 설정하는 것입니다. 이는 일반적으로 애플리케이션을 효과적으로 화이트리스트에 추가합니다.
  6. "응용 프로그램 수정"을 생성하는 마지막 단계에서는 규칙을 "일치"하는 데 사용할 응용 프로그램에 대한 많은 정보가 표시됩니다. 정기적으로 업데이트되는 프로그램에서 이 기능이 계속 작동하도록 하려면 버전 번호를 참조하는 모든 필드를 제거해야 합니다(결국 업데이트 후에 버전이 변경되거나 변경되어야 합니다).
  7. 완료되면 데이터베이스를 "SDB" 파일로 저장합니다.
  8. 다음 명령을 사용하여 각 컴퓨터에 "SDB" 파일을 설치합니다.sdbinst {Local path to sdb file}

  9. 그룹 정책을 사용하여 로컬 컴퓨터에 폴더를 만들고 SDB 파일과 스크립트를 폴더에 복사한 다음 컴퓨터 시작 중에 스크립트를 실행하는 것이 좋습니다. 이 경우 스크립트는 'n' 플래그를 사용하여 기존 SDB 파일을 제거하고 'q' 플래그를 사용하여 자동으로 설치해야 합니다. 이에 대한 명령은 다음과 같습니다.

    1. sdbinst -n "database-name"
    2. sdbinst -q {Local path to SDB file}

즉,응용 프로그램이 파일을 다운로드하고 압축을 푼 다음 압축을 푼 파일에 포함된 다른 응용 프로그램을 실행하려고 하면 이 프로세스가 작동하지 않습니다.(결국 컴퓨터에 관한 한 그것은 다른 응용 프로그램입니다). 업데이트 파일을 가져와 로컬 컴퓨터의 특정 폴더에 배포하고(응용 프로그램이 실행되기 전에 로컬 컴퓨터의 임시 폴더에 복사되므로 네트워크 폴더는 작동하지 않음) 업데이트하여 이 문제를 해결할 수 있습니다. 적절한 업데이트 애플리케이션을 가리키는 화이트리스트입니다.

또한 일부 응용 프로그램에서는 작동하지 않습니다.응용 프로그램이 얼마나 잘 설정되어 있는지에 따라 필요한 사용자에게 해당 파일을 실행하는 컴퓨터에 대한 로컬 관리자 액세스 권한을 부여하는 것 외에는 선택의 여지가 없을 수 있습니다. IT 관리 관점에서 볼 때 사용할 수 밖에 없는 끔찍한 제조 소프트웨어에 문제가 있습니다.

관리자 권한이 필요한 업데이트를 정기적으로 푸시하는 UPS World Ship과 같은 애플리케이션에 이 프로세스를 성공적으로 사용했습니다. 이 프로세스는 모두 임시 폴더 위치에서 실행을 시도하는 추가 업데이트 파일에 대한 래퍼인 개별 업데이트 파일을 패키지하는 Sage 50 Accounting과 같은 소프트웨어에서는 작동하지 않습니다.

따라서 결론적으로 이것이 관리자가 아닌 사용자를 위한 애플리케이션을 화이트리스트에 추가할 수 있는 수정 방법이기는 하지만 마일리지는 애플리케이션마다 다를 수 있습니다. 이 외에도 업데이트 푸시도 처리할 수 있는 일부 응용 프로그램 관리 소프트웨어를 찾고 있습니다. 이는 소규모 기업에 비해 너무 비싸거나 과잉일 수 있습니다.

참조:Compatability Toolkit으로 UAC 프롬프트 제거

관련 정보