none
Elevare l'end user come administrator tramite GPO, si può fare? RRS feed

  • Domanda

  • Un saluto a tutti,
    per poter installare o per aggiornare un particolare ambiente di progettazione CAD debbo elevare l'end-user come Administrator e poi finito il lavoro di installazione o aggiornamento riportarlo a User
    Se non faccio così la installazione o aggiornamento non sempre avviene bene.
    Visto che le postazioni e relativi end user non sono molti, (10 e in acluni casi 15) passo ad elevare l'utente e poi ripasso per riportarlo a User (NetPLWiz). Però per maggiore sicurezza e per praticità vorrei provare di gestire l'elevazione e poi il riportare a User con le GPO. L'ambiente in cui opero è Windows server 2016 AD e i client sono dei windows 7 e window 10.
    Qualcuno di voi può darmi una indicazione, o un documento da usare come riferimento per questa cosa?

    Grazie

    Bob

    lunedì 1 ottobre 2018 07:26

Risposte

Tutte le risposte

  • Secondo me fai prima a creare uno script che esegue un RunAs con una utenza amministrativa (preferibilmente locale). Ovviamente dovrai crittografare la password dell'account per sicurezza.
    Lo script andrà poi impostato al login dell'utente.
    https://4sysops.com/archives/run-a-program-with-administrator-rights-runasspc-cpau-and-steel-run-as-compared/

    In alternativa, valuta direttamente l'utilizzo di comandi remoti (ad esempio PsExec) in modo da poter controllare in tempo reale la distribuzione dell'aggiornamento.

    lunedì 1 ottobre 2018 07:59
    Moderatore
  • Ti ringrazio per la risposta e le proposte che fai.
    Purtroppo questi applicativi (autodesk) ho esperienza che se non li installi con l'end-user elevato nel gruppo administrator non si installano bene e a volte non te ne accorgi subito; avviare i setup con il runas non da garanzia di installare correttamente. Tanto è che quando vai ad utilizzare certe funzioni alcune cose non vanno. A quel punto reinstalli come ho detto e funziona. Pensa che l'azienda che ci da consulenza su questi prodotti addirittura vorrebbe per una installazione, anche abbassare la UAC al valore minimo (io non glielo permetto) e disabilitare temporaneamente il prodotto antivirus....

    bob


    • Modificato Bob245 lunedì 1 ottobre 2018 17:17
    lunedì 1 ottobre 2018 17:15
  • Non sono aggiornatissimo (è da tre anni che non gestisco più 50 computer con autocad et al applicativi autodesk)

    Di solito mi facevo un pacchetto di deploy, in modo che tutti i computer fossero omogenei

    https://knowledge.autodesk.com/search-result/caas/sfdcarticles/sfdcarticles/How-to-I-deploy-Autodesk-2016-products-with-updates.html

    A questo punto con il pacchetto fatto + l'opzione di psexec, suggerita da Fabrizio, può essere un'ottima idea, devi avere la garanzia che gli utenti non spengano il pc, mi è capitato di lanciare delle installazioni silenti, abbastanza pesanti, la gente spegneva il pc perchè pensava non funzionasse... ho imparato che dovevo (giustamente) avvisarli

    caio Gastone


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere


    lunedì 1 ottobre 2018 19:34
    Moderatore
  • Penso che lavorerò un po' sul PSEXEC. Per esempio andrò a vedere cosa succede se lancio il setup dell'applicazione in una command elevata in cui avvierò il psexec con opzione -i -s. Se funziona sarò già contento perchè non dovrò modificare lòe appartenenze del end-user che è la cosa che più mi da fastidio. Se funziona potrò pensare di fare anche installazioni da remoto (per gli applicativi più semplici come il PDM client...) Vi faccio sapere.

    Grazie intanto per la preziosa "imbeccata"

    bob

    martedì 2 ottobre 2018 06:22
  • Io con AutoCAD ho sempre utilizzato PsExec senza problemi, ma non credo sia molto diverso da un RunAs (io non utilizzavo uno script solo per la comodità di controllare la distribuzione in tempo reale, viste le risorse necessarie al processo). Sinceramente non mi è mai capitato di avere "funzioni che poi non vanno" per una installazione eseguita in questo modo.
    martedì 2 ottobre 2018 06:49
    Moderatore
  • Ciao, premesso che condivido la soluzione proposta da Fabrizio/Gastone ti giro un esempio di Policy per impostare un utente come local admin. Ovviamente, la policy va applicata per l'installazione e riapplicata per eliminare il gruppo.

    https://social.technet.microsoft.com/wiki/contents/articles/7833.how-to-make-a-domain-user-the-local-administrator-for-all-pcs.aspx

    Saluti
    Nino


    www.testerlab.it

    martedì 2 ottobre 2018 06:57
    Moderatore
  • Ciao, premesso che condivido la soluzione proposta da Fabrizio/Gastone ti giro un esempio di Policy per impostare un utente come local admin. Ovviamente, la policy va applicata per l'installazione e riapplicata per eliminare il gruppo.

    https://social.technet.microsoft.com/wiki/contents/articles/7833.how-to-make-a-domain-user-the-local-administrator-for-all-pcs.aspx

    Saluti
    Nino


    www.testerlab.it

    Non ho letto il link, ma una idea è quella di aggiungere un gruppo di dominio es. Domain_local_adm al gruppo administrators. usando una policy (come citato nel link), poi centralmente da AD aggiungi gli utenti al gruppo  Domain_local_adm e li rimuovi quando fatto (così la policy la lasci sempre e operi solo a livello di gruppo)


    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere

    martedì 2 ottobre 2018 08:40
    Moderatore
  • Sì direi che questa è la strada che voglio seguire. Quella del Psexec ho già provato non risolve. Ci sono applicazioni che se lanciate in runas o comunque con utente più elevato on fly poi alcune impostazioni a livello  current user non vanno. Non c'è niente da fare bisogna usare l'end user messo nel gruppo administrator (e poi tolto una volta terminata la installazione/configurazione)

    Grazie

    Bob

    mercoledì 3 ottobre 2018 17:36
  • Come dicevo, per quanto riguarda AutoCAD, non ho mai avuto i problemi di cui parli...se poi intendi l'aggiornamento di altre applicazioni allora è un altro conto...
    mercoledì 3 ottobre 2018 21:26
    Moderatore
  • Pure io non ho mai avuto problemi con prodotti Autodesk, mai dovuto fare cambi di user ad admin e "ritorno" a user e non avevo solo aurocad... ma tutta la suite Revit/recap/bim/3ds/inventory etc. più Rhino, Cinema4d, leica Cyclone, blender etc. infine i programmi standard office  e le utility rawtherapy, hugine etc...

    Gastone Canali >http://www.armadillo.it


    Se alcuni post rispondono al tuo quesito(non necessariamente i miei), ricorda di contrassegnarli come risposta e non dimenticare di contrassegnare anche i post utili. GRAZIE! Ricorda di dare un occhio ai link Click Here andHere




    giovedì 4 ottobre 2018 06:45
    Moderatore
  • Ciao, non vorrei entrare nel dettaglio ma vi posso garantire che invece ci sono problemi e abbastanza seccanti. Parlo delle suite di disegno legate ad inventor (mechanical, nastran, 3DS etc..) e al vault sia esso office che pro. Stiamo parlando di installazioni da decine di gigabyte quando si montano suite complete. Ci sono impostazioni che non finiscono sull'end user se si fa l'installazione con runas administrator. Alcune cose finiscono su Administrator e non sull'end user. Sono piccole cose ma fanno perdere tempo e alla fine conviene elevare l'utente nel gruppo administrator.
    Comunque anche gli installatori della azienda consulente lavorano così e loro installano o aggiornano workstation in continuazione...

    Grazie ancora

    giovedì 4 ottobre 2018 17:46