none
Conceder permisos para actualizar ciertos programas sin tener privilegios de administrador

    Question

  • Buenos días,

    Mi entorno es 2008R2 y mis clientes son Windows 7 Pro. Me interesaría poder permitir a los usuarios que no son administradores locales de su máquina actualizar programas como Java, Flash, Reader sin necesidad de que tengan que elevar privilegios y que el área de helpdesk invierta tiempo en realizar dichas actualizaciones.

    En un principio pensé en AppLocker, pero no es válido porque no se puede aplicar en Windows 7 Pro. La otra opción sería a través de GPO de restricción de software, pero no sé si puede ralentizar mucho los equipos a la hora de consultar qué aplicaciones están permitidas y cuáles no, ya que en mi entorno de pruebas los equipos tardaban mucho en arrancar.

    ¿Habría alguna forma de permitir dechas actualizaciones sin necesidad de intervención por parte del área de Sistemas?

    Gracias.

    Thursday, February 28, 2013 8:45 AM

All replies

  • Puedes plantearlo de otra forma y puedes publicar o asignar esas aplicaciones mediante directivas de instalación de software.

     Un saludo.

    Thursday, February 28, 2013 1:24 PM
  • Gracias Javier por tu respuesta,

    De hacerlo según como dices, tendría que tener un repositorio actualizado con las últimas versiones según fueran saliendo y eso no impediría que los clientes recibieran la actualización a través de internet antes que yo y me diera tiempo a actualizar ese repositorio y lanzar la instalación por GPO con el consiguiente mensaje  algo molesto de elevación de privilegios que recibirían.

    ¿Alguna otra idea?

    Thursday, February 28, 2013 3:13 PM
  • Hola MarcosGL!

    En primera instancia, es importante destacar que no podrás evitar la ventana de elevación de privilegios si un usuario intenta actualizar o instalar un software que así lo requiera. Si eso podría ocurrir, estaríamos frente a un gran agujero de seguridad del UAC.

    Para cumplir con tu requerimiento, podés utilizar software especializado como System Center Configuration Manager, que en comparación con las directivas de instalación de software te suma funcionalidad específica para la redistribución de software. Si los usuarios intentan actualizar el software antes que sea redistribuido por el área Sistemas, no podrán hacerlo dado que esta acción requeriría elevación. Te dejo un link al System Center Configuration Manager:

    Si querés evitar que los usuarios vean dicho cuadro, tenés algunas opciones que en mayor o menor medida pueden satisfacer esa necesidad:

    • Si querés evitar la posibilidad que aparezca el cuadro de elevación, tenés la siguiente opción por GPO para denegar la elevación o pedido de credenciales: Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Security Options / "User Account Control: Behavitor of the elevation prompt for standard users":


    • Como alternativa, si no querés utilizar la anterior GPO propuesta, podrías bloquear el acceso vía Internet a los destinos que buscan actualizaciones de software, si bien es un "poco rebuscado", a través de tu firewall o proxy. Sin embargo esto requiere muchísimo desgaste administrativo dado que cada aplicación tiene diferentes destinos a donde ir a buscar actualizaciones y, además, no todas las aplicaciones primero buscan por URL y luego llaman al ejecutable, sino que sucede lo contrario. No lo veo aplicable pero no deja de ser una opción...

    Esperamos tu feedback!

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    Saturday, March 02, 2013 10:20 PM
  • Buenos días Pablo,

    Gracias por tu respuesta. La opción de System Center Configuration Manager la tengo muy presente ya que tenemos otros productos de la familia System Center implantados y éste es uno de los pilares del grupo que nos haría falta para englobar diferentes roles en uno solo.

    La segunda opción no me transmite mucha confianza el deshabilitar la elevación para los usuarios estándar (la gran mayoría) y la tercera opción no es aplicable ya que lo que intento es actualizar dicho software sin que el usuario tenga que elevar privilegios, no bloquearlo para que yo pueda actualizarlo.

    He podido ver que hay  herramientas especificas de Adobe para este fin, pero no me gustaría tener que estar pendiente de un repositorio de software al que tengo que estar poniendo al día de vez en cuando si no que sean los usuarios quienes actualicen dichos programas en sus equipos sin la necesidad de un usuario con mayor privilegios que lo permita.

    Gracias de todos modos.

    Wednesday, March 06, 2013 9:07 AM
  • Hola MarcosGL!

    ¿Cómo estás? Disculpame la demora en la respuesta! ¿Has podido solucionar tu problema?

    En primera instancia, salvo que exista un servicio en el equipo local que te permita realizar estas operaciones que requieren elevación, no podrás permitir que un usuario instale actualizaciones sin ser administrador para la gran mayoría del software vigente en el mercado. Si eso pasaría, se generaría una elevación de privilegios no autorizada que es lo que el UAC y otras herramientas de Windows evitan. En sí, amplío mi respuesta: Windows y otros sistemas operativos evitan, cada uno mediante sus propias tecnologías.

    En vistas a ello, te recomiendo ir por una herramienta de distribución de software centralizada, como Configuration Manager.

    Mi recomendación de deshabilitar la elevación para usuarios standard (en vistas a lo que comentaste de querer evitar que aparezca el cartel de elevación) no permite al usuario instalar cosas, simplemente no permite la elevación. El error de falta de privilegios se generará igual! Esto te lo aclaro porque quizás interpretaste lo contrario (que el usuario iba a poder instalar cosas al no pedirle "elevación").

    En fin, contanos como te fue y si lo lograste, que solución implementaste.

    Saludos!!


    Pablo Ariel Di Loreto
    IT Consultant

    This posting is provided "AS IS" with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing!

    Tuesday, April 09, 2013 4:19 AM