locked
Abilitare utenti ad installare certi programmi RRS feed

  • Domanda

  • Salve a tutti,
    avrei una domanda, come posso abilitare gli utenti che ovviamente non sono amministratori, ad installare/aggiornare da soli (cioè come amministratori) alcuni programmi?

    Ad esempio ci sono alcuni software (aziendali oppure come java) che ogni tanto richiedono aggiornamenti che devono essere fatti.

    Vorrei evitare ogni volta di farlo io (admin) al posto degli utenti, non esiste un modo per dire al sistema (win7) che quel software specifico può essere aggiornato o anche solo eseguito dall'utente non admin?

    Spero di essere stato abbastanza chiaro nella richiesta.

    Grazie in anticipo,

    Marco
    lunedì 16 febbraio 2015 13:11

Risposte

  • Ciao,

    ti sei già mezzo risposto l'utente non amministratore non DOVREBBE e dico non DOVREBBE poter installare SW,update, ecc ecc sulla sua local machine. Per fini di secuirty un utente banale "Domain User" non ha questi priviliegi e non dovrebbe averli mai.  E' corretto che questo tipo di attività vengano svolte da personale addetto/delegato a poter operare o dall'amministratore di dominio per esempio .

    La via più semplice per fare ciò, anche se da me prettamente sconsigliata è rendere Administrator locale della macchina il tuo "domain user", cosa che non solo permette di dare permessi di installare SW ma permessi full alla macchina locale. Per ovviare a ciò potresti metterlo nel gruppo " power user", quali sono le differenze ?

    http://superuser.com/questions/241092/difference-between-power-user-and-administrator

    Se vuoi fare il deploy di applicazioni tramite GPO ti consiglio di leggere questo :

    http://www.windowsnetworking.com/articles-tutorials/netgeneral/Group-Policy-Deploy-Applications.html

    dove puoi sfruttare i "RESTRICTED GROUPS" ......

    spero di essere stato chiaro utente in gruppo Administrator --->> buco di sicurezza

    Saluti

    MAttia LOdi

    lunedì 16 febbraio 2015 15:18

Tutte le risposte

  • Ciao,

    ti sei già mezzo risposto l'utente non amministratore non DOVREBBE e dico non DOVREBBE poter installare SW,update, ecc ecc sulla sua local machine. Per fini di secuirty un utente banale "Domain User" non ha questi priviliegi e non dovrebbe averli mai.  E' corretto che questo tipo di attività vengano svolte da personale addetto/delegato a poter operare o dall'amministratore di dominio per esempio .

    La via più semplice per fare ciò, anche se da me prettamente sconsigliata è rendere Administrator locale della macchina il tuo "domain user", cosa che non solo permette di dare permessi di installare SW ma permessi full alla macchina locale. Per ovviare a ciò potresti metterlo nel gruppo " power user", quali sono le differenze ?

    http://superuser.com/questions/241092/difference-between-power-user-and-administrator

    Se vuoi fare il deploy di applicazioni tramite GPO ti consiglio di leggere questo :

    http://www.windowsnetworking.com/articles-tutorials/netgeneral/Group-Policy-Deploy-Applications.html

    dove puoi sfruttare i "RESTRICTED GROUPS" ......

    spero di essere stato chiaro utente in gruppo Administrator --->> buco di sicurezza

    Saluti

    MAttia LOdi

    lunedì 16 febbraio 2015 15:18
  • Grazie per la risposta. Il problema però è un altro, capisco il tuo ragionamento, ma prova ad essere tu sola a dover installare 70 volte lo stesso aggiornamento di Java (per dirne uno, lo so che esiste il deploy via GPO) ma non solo Java; ho alcuni programmi che non posso distribuire via GPO.

    Se esistesse una GPO che mi faccia selezionare quale eseguibile l'utente può far partire come Admin a mio parere non sarebbe una mancanza di sicurezza, dato che al DC ci posso entrare solo io.

    Del resto di GPO simili già ci sono, cè quella che autorizza o no l'uso di un particolare programma, quindi mi chiedevo se ne esistesse una che permettesse all'utente di lanciarla come admin. Ma credo che non esista.

    lunedì 16 febbraio 2015 15:25
  • Ciao, ha ragione Mattia, se l'utente è uno user NON deve installare software. Se gli dai la possibilità di farlo devi elevarlo ad administrator ed allora tutto il discorso decade. Quindi, o usi il deployment via Policy nato per gli amministratori di sistema oppure non hai altri metodi.

    PS Se esistesse una policy che fa partire l'exe come admin, basta che ti cambio un .exe ed al posto di java ci metto un malware cryptolocker e la tua rete se ne va...il sysadmin prima testa i pacchetti, poi fa il deployment via policy. questa è la best practise.

    Ciao.

    A.

    lunedì 16 febbraio 2015 16:36
    Moderatore
  • Ciao A. Si hai ragione alla sostituzione non ci avevo pensato. Cmq NON esiste un altro metodo se non posso usare il deploy via GPO se non quello di andare fisicamente o virtualmente su ogni macchina.
    lunedì 16 febbraio 2015 16:48
  • certo che non esiste...le policy sono nate per ovviare proprio al fatto di andare su ogni macchina a fare dei task.
    lunedì 16 febbraio 2015 17:03
    Moderatore