Adminrechte für lokales Programmverzeichnis

Alle Antworten

• 

  

  0

  Anmelden

  Am 18.12.2012 schrieb lleitz:

  Allerdings werden so alle 3 Monate Updates von einem Server-Programm auf die Clients verteilt.
  Hier habe ich das Problem, dass es bei einer solchen Installation zu Fehlern kommt, da die Benutzer keine Admin-Berechtigungen haben.

  Weshalb genau benötigt das Update Adminrechte? Werden nur Dateien
  ausgetauscht? Die könntest Du auch per GPO austauschen, in der
  Computerkonfiguration hast Du alle NTFS Berechtigungen die Du
  benötigst.

  Lt. Software-Hersteller wäre es Ideal, wenn den betroffenen lokalen Programmverzeichnissen Admin-Rechte über GPO zuweisen werden würden.
  z.B.:   C:\Programme (x86)\Software-Name\
  Weiß jemand, wie ich dies über GPO bewerkstelligen kann?

  Kannst Du auch per GPO vergeben.
  http://www.gruppenrichtlinien.de/HowTo/Zentrale_Vergabe_lokaler_Berechtigungen.htm

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Dienstag, 18. Dezember 2012 22:13

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Winfried,

  danke für die Info.
  Ich kann es erst heute nachmittag testen. Hoffe es klappt.
  Gruß

  Leo L.

  ---

  Leander Leitz

  Mittwoch, 19. Dezember 2012 06:00

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Leo,

  Lt. Software-Hersteller wäre es Ideal, wenn den betroffenen lokalen Programmverzeichnissen Admin-Rechte über GPO zuweisen werden würden.

  Das finden die meisten Softwarehersteller ideal.

  Anstatt eine mistige Software ordentlich zu Progammieren (damit sie eben keine erweiterteten Rechte erfordert),
  wird halt mal eben schnell eine der wichtigsten Sicherheitseinstellungen vorbogen (nämlich dass der Benutzer KEINE Schreibrechte im Progam Files hat).
  

  Was ich genau damit meine:
  
  http://www.faq-o-matic.net/2009/10/02/wie-werde-ich-lokaler-administrator/
  
  

  ---

  MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

  
  

  • Bearbeitet Matthias WolfEditor Mittwoch, 19. Dezember 2012 08:49

  Mittwoch, 19. Dezember 2012 08:49

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

   

  > Allerdings werden so alle 3 Monate Updates von einem Server-Programm

  > auf die Clients verteilt.

   

  Kommt mir bekannt vor - das Programm hat KEINE Microsoft Logo

  Zertifizierung, und der Hersteller ist beratungsresistent, was

  Sicherheit und Konformität mit aktuellen Methoden angeht. Sucht Euch ein

  anderes Programm...

   

  BTW: Darf ich fragen, wie das Programm heißt?

   

  mfg Martin

   

  ---

  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

  Mittwoch, 19. Dezember 2012 18:56

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Am 19.12.2012 schrieb lleitz:

  Ich kann es erst heute nachmittag testen. Hoffe es klappt.

  Beantworte doch auch die restlichen Fragen, evtl. kann man dir einen
  passenden Hinweis für das zukünftige update geben.

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Mittwoch, 19. Dezember 2012 19:47

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Leute,

  Erst mal Danke für Eure Antworten!

  Es handelt sich um eine Rechtsanwaltssoftware. Auf Zertifizierungen wurde nicht geachtet. Den Namen der Software möchte ich vorerst nicht verraten.
  Es müssen bei den Updates Dateien ausgetauscht bzw. auch neue hinzugefügt werden. Das Windows-Verzeichnis bleibt unberührt.

  Wenn ich Winfried richtig verstanden habe, dann kann ich über GPO folgendes einstellen:

  Policy -> Computerconfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem -> Hinzufügen - C:\Programme (x86)\Software -> Bei der Sicherheit entsprechende Benutzer bzw. Gruppen hinzufügen -> Berechtigungen auf Ändern stellen.
  So sollte sich die Software in diesem Verzeichnis - ohne Probleme  - auch als Standardbenutzer - installieren lassen.

  Ich werde dies heute im Laufe des Tages testen und Euch dann berichten.
  Wenn jemand in meinen Ausfürhungen einen Fehler entdeckt hat, kann mir dies noch kurz mitteilen.
  Gruß u. Dank

  Leo L.

  ---

  Leander Leitz

  Donnerstag, 20. Dezember 2012 10:15

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Policy -> Computerconfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem -> Hinzufügen - C:\Programme (x86)\Software -> Bei der Sicherheit entsprechende Benutzer bzw. Gruppen hinzufügen -> Berechtigungen auf Ändern stellen.
  So sollte sich die Software in diesem Verzeichnis - ohne Probleme  - auch als Standardbenutzer - installieren lassen.
   

  Ja das stimmt soweit. Allerdings musst du noch etwas beachten.

  Erst einmal solltest du nicht "C:\Programme (x86)" sondern eine Variable verwenden ("ProgramFiles(x86)").

  Wenn du sowohl x64 als auch x86 Clients hast, solltest du zwei Policies anlegen und diese per WMI Filter steuern.
  Die Variable %ProgramFiles(x86)% gibt es nur auf den x64 Clients.

  Der WMI Filter lautet:
  
  für 64-Bit
  Select * from Win32_Processor where AddressWidth = "64"

  für 32 Bit
  Select * from Win32_Processor where AddressWidth = "32"

  ---

  MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

  Donnerstag, 20. Dezember 2012 11:06

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

   

  > Erst einmal solltest du nicht "C:\Programme (x86)" sondern eine

  > Variable verwenden ("ProgramFiles(x86)").

   

  In dem Fall (ausnahmsweise) unnötig - die File Security Settings

  ersetzen C:\Program Files automatisch durch %ProgramFiles%. Wenn man

  andere Variablen verwenden will, muß man das inf manuell bearbeiten, da

  es hier kein Eingabefeld gibt, sondern nur einen Ordner-Browser.

   

  ---

  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

  Donnerstag, 20. Dezember 2012 12:03

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Wenn man andere Variablen verwenden will, muß man das inf manuell bearbeiten, da
  es hier kein Eingabefeld gibt, sondern nur einen Ordner-Browser.

  *Oberlehrer-Mode on*

  
  

  *Oberlehrer-Mode off*

  :-)

  ---

  MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

  
  

  • Bearbeitet Matthias WolfEditor Donnerstag, 20. Dezember 2012 14:27

  Donnerstag, 20. Dezember 2012 14:25

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  In dem Fall (ausnahmsweise) unnötig - die File Security Settings

  ersetzen C:\Program Files automatisch durch %ProgramFiles%.

  Ähm, ja das ist richtig. Vergessen.
  Gemeint war natürlich, dass eben nicht hardcoded "C:\Programme (x86)" im .inf stehen sollte.
  
  Was zum Beispiel dann passieren kann, wenn du eine englische GPMC benutzt (was ich ausschließlich tue)
  und dann allerdings "C:\Programme (x86)" in die Policy einfügen möchtest...

  ---

  MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

  Donnerstag, 20. Dezember 2012 14:34

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

   

  > *Oberlehrer-Mode on*

   

  Paßt schon, das hab ich mir verdient ;-) Ich hab das immer für ein

  R/O-Feld gehalten... Wald, wo sind Deine Bäume? :-D

   

  ---

  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

  Donnerstag, 20. Dezember 2012 16:23

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

   

  > Es handelt sich um eine Rechtsanwaltssoftware. Auf Zertifizierungen

  > wurde nicht geachtet. Den Namen der Software möchte ich vorerst nicht

  > verraten.

   

  Ich kenn da eine, die hat was mit dem Fliegen zu tun...

   

  ---

  NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
  Wenn meine Antwort hilfreich war, freue ich mich über eine Bewertung! If my answer was helpful, I'm glad about a rating!

  Donnerstag, 20. Dezember 2012 16:40

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Am 20.12.2012 schrieb lleitz:

  Wenn ich Winfried richtig verstanden habe, dann kann ich über GPO folgendes einstellen:
  
  Policy -> Computerconfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem -> Hinzufügen - C:\Programme (x86)\Software -> Bei der Sicherheit entsprechende Benutzer bzw. Gruppen hinzufügen -> Berechtigungen auf Ändern stellen.
  So sollte sich die Software in diesem Verzeichnis - ohne Probleme  - auch als Standardbenutzer - installieren lassen.

  So sollte es sein. Klappt das nicht, dann hol dir den ProcessMonitor
  von MS. Mitlaufen lassen bei einem Installationsversuch, anschließend
  kannst Du auswerten wo genau es noch hakt.

  Ich werde dies heute im Laufe des Tages testen und Euch dann berichten.

  Konntest Du schon testen?

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Donnerstag, 20. Dezember 2012 17:45

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Wald, wo sind Deine Bäume? :-D

  Es ist bald Weihnachten,
  was erwartest du?!

  :-)

  ---

  MVP Group Policy - Mythen, Insiderinfos und Troubleshooting zum Thema GPOs: Let's go, use GPO!

  Donnerstag, 20. Dezember 2012 18:25

  Antworten

  |

  Zitieren

  Beantworter
• 

  

  0

  Anmelden

  Hallo Leute,
  ich habe die Richtlinie heute eingerichtet.
  Der Kunde kann die Funktionalität erst Morgen testen.
  Ich halte Euch auf dem Laufenden.

  Gruß u. Dank

  Leo L.

  ---

  Leander Leitz

  Donnerstag, 20. Dezember 2012 21:12

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 20.12.2012 schrieb lleitz:

  ich habe die Richtlinie heute eingerichtet. Der Kunde kann die Funktionalität erst Morgen testen.

  Morgen ist Heute gewesen. Wie sieht es denn jetzt aus?
  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/
  Reg2xml:  http://www.reg2xml.com - Registry Export File Converter

  Freitag, 21. Dezember 2012 22:17

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Leo,

  ist dieser Thread noch aktuell? Bist Du hier inzwischen weitergekommen?

  Gruss,
  Alex

  ---

  Alex Pitulice, MICROSOFT 
  Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

  Donnerstag, 27. Dezember 2012 14:03

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Leute,

  mein Kunde konnte erst heute ein Update testen.
  Es hat allerdings noch nicht geklappt.
  Ich werde den ProzessMonitor beim Update mitlaufen lassen und sehen, woran es noch hakt.
  Kann ich jedoch erst morgen testen. Da bin ich mit vor Ort.
  Ich halte Euch am Laufenden.

  Gruß u. Dank
  Leo L.

  ---

  Leander Leitz

  Donnerstag, 27. Dezember 2012 14:43

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Leute,

  also die Aktion hat noch nicht den gewünschten Erfolg gebracht.
  Folgendes wurde eingerichtet:
  Policy -> Computerconfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem -> Hinzufügen - C:\Programme (x86)\Software -> Bei der Sicherheit entsprechende Benutzer bzw. Gruppen hinzufügen -> Berechtigungen auf "Ändern" stellen.
  Der Austausch von Dateien bzw. das Löschen von Dateien war trotzdem nicht möglich.

  Wenn ich diese Einstellungen am Client direkt geändert habe, hat es geklappt. Also ich habe dem Verzeichnis c:\Programme (x86)\Software im Bereich Sicherheit "jeden" die Einstellung "Ändern" gegeben.
  So konnten Dateien gelöscht bzw. getauscht werden.

  Hat noch jemand eine Idee?
  Gruß u. Dank

  Leo L

  ---

  Leander Leitz

  Mittwoch, 2. Januar 2013 19:31

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 02.01.2013 20:31, schrieb lleitz:

  Der Austausch von Dateien bzw. das Löschen von Dateien war trotzdem nicht möglich.

  ... sind denn die Rechte an der Stelle im Dateisystem überhaupt per GPO geändert? Da sollte direkt nach Neustart, bzw. gpupdate erfolgt sein.

  Ich habe diese Konfig 1000fach im Einsatz, es wäre das erste Mal, daß es "per Hand" funktioniert, aber nicht per GPO. Die GPO macht nichts anderes als du per Hand. Nur automatisiert und über einen DLL Aufruf.

  Wenn es also nicht klappt, dann:
  - übernimmt dein Client die GPO nicht. Div Gründe
  - stimmt der Pfad nicht
  - stimmen die Rechte nicht

  Tschö
  Mark

  ---

  Mark Heitbrink - MVP Windows Server - Group Policy

  Homepage:       www.gruppenrichtlinien.de - deutsch
  GPO Tool:       www.reg2xml.com - Registry Export File Converter
  NetworkTrayTool www.gruppenrichtlinien.de/tools/Networktraytool.htm

  Mittwoch, 2. Januar 2013 19:44

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 02.01.2013 schrieb lleitz:

  Policy -> Computerconfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Dateisystem -> Hinzufügen - C:\Programme (x86)\Software -> Bei der Sicherheit entsprechende Benutzer bzw. Gruppen hinzufügen -> Berechtigungen auf "Ändern" stellen.
  Der Austausch von Dateien bzw. das Löschen von Dateien war trotzdem nicht möglich.

  Sind die Berechtigungen übernommen worden? Hast Du den Client auch neu
  gestartet? Welche Benutzergruppe hast Du eingetragen?

  Wenn ich diese Einstellungen am Client direkt geändert habe, hat es geklappt. Also ich habe dem Verzeichnis c:\Programme (x86)\Software im Bereich Sicherheit "jeden" die Einstellung "Ändern" gegeben.

  Ich kann mich Mark nur anschließen, hat bei mir auch schon zig mal
  funktioniert, Du mußt auf alle Fälle den Client neu starten. Auch
  prüfen ob das GPO am Client ankommt.

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Mittwoch, 2. Januar 2013 20:12

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Hallo Mark, hallo Winfried,

  danke für Eure Antworten.
  Ich werde die GPO nochmal auf den Pfad u. die Rechte überprüfen.
  Werde es morgen Abend nochmal testen. Sage Euch dann bescheid.
  Gruß u. Dank

  Leo. L

  ---

  Leander Leitz

  Mittwoch, 2. Januar 2013 21:31

  Antworten

  |

  Zitieren
• 

  

  0

  Anmelden

  Am 02.01.2013 schrieb lleitz:

  Ich werde die GPO nochmal auf den Pfad u. die Rechte überprüfen.
  Werde es morgen Abend nochmal testen. Sage Euch dann bescheid.

  Am besten nutzt du die GPMC direkt auf einem Client, auf dem die SW
  installiert ist. Oder du installierst die SW auf einem administrativen
  Client. ;)

  Servus
  Winfried

  ---

  Connect2WSUS: http://www.grurili.de/tools/Connect2WSUS.exe
  GPO's: http://www.gruppenrichtlinien.de
  Community Forums NNTP Bridge: http://communitybridge.codeplex.com/

  Mittwoch, 2. Januar 2013 21:48

  Antworten

  |

  Zitieren