Windows Installer - Immer mit erhöhten Rechten installieren

20/01/2010 - 22:33 von Udo Linnenschmidt | Report spam
Hallo zusammen,

in den GPOs (Computer- und Benutzerbereich) gibt's die Einstellung:
"Windows Installer - Immer mit erhöhten Rechten installieren".

Hat bei aktivierter Einstellung somit jeder User (mit Benutzer- oder Hauptbenutzerrechten)
jede beliebige msi-Datei zu installieren?
Nach meinen Testings ist dem nicht so. 100%ig sicher bin ich mir da aber
nicht.

Deshalb möchte ich genau wissen, wann diese Einstellungen Auswirkungen haben.
Z.B. beim Verteilen von MSI-Paketen über GPOs?
Die Erklàrung in den GPOs ist da nicht ganz eindeutig.

Grüße
Udo L.

P.S. Versuch Nr.3 diesen Post zu erstellen. Jetzt mal ohne Sonderzeichen
etc. im Betreff...
 

Lesen sie die antworten

#1 Mark Heitbrink [MVP]
21/01/2010 - 00:17 | Warnen spam
Hi,

Am 20.01.2010 22:33, schrieb Udo Linnenschmidt:
in den GPOs (Computer- und Benutzerbereich) gibt's die Einstellung:
"Windows Installer - Immer mit erhöhten Rechten installieren".
Hat bei aktivierter Einstellung somit jeder User (mit Benutzer- oder
Hauptbenutzerrechten) jede beliebige msi-Datei zu installieren?



Braucht kein Mensch. Finger weg.
Es gilt für die Software die "Pro Benutzer" verteilt wird, also über
das AD bereitgestellt (veröffentlicht) wird.
Bei der Veröffentlichung, werden nur Links und DAteiverknüpfungen
erstellt. Klick dann jemand auf die Anwendung wird sie in dem Moment
installiert und dieser Vorgang wird dann mit "erhöhten Rechten"
durchgeführt und nicht im Userkontext.

Achtung/Risiko: Es gilt auch für "normale" PRogramme, die in der
Systemsteuerung "Software" definiert sind.

Zurück zum Thema: Braucht kein Mensch. Finger weg.
Software wird pro Computer zugewiesen, aber niemals pro Benutzer
bereitgestellt. Das tuts nicht, funktioniert nicht, ist Blödsinn
und von vornherein zum Scheitern verurteilt.
Da wir jetzt also Software nur PRO COMPUTER verteilen und diese
Verteilung schon als SYSTEM geschieht, bruacht man keine erhöhten
Berechtigungen. Mehr als SYSTEM geht nicht.
Zudem möchte ich nicht, daß meine User "Software" in der Systemsteuerung
àndern können.

Siehe auch Explain:
| Diese Einstellung erweitert erhöhte Berechtigungen für alle
| Programmen. Die Berechtigungen gelten normalerweise nur für
| Programme, die dem Benutzer (wie z. B. Programme auf dem Desktop)
| oder dem Computer (diese werden automatisch installiert) zugewiesen
| wurden. Sie gilt aber auch für Programme, die unter "Software" in der
| Systemsteuerung verfügbar sind.

Tschö
Mark
Mark Heitbrink - MVP Windows Server - Group Policy

Homepage: www.gruppenrichtlinien.de - deutsch
Discuss : www.freelists.org/list/gpupdate

Ähnliche fragen