Jump to content

Globale Softwareinstallationen vermeiden

impuls87

Von impuls87
in Active Directory Forum

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

impuls87 Rookie

impuls87   0

Geschrieben
Geschrieben

Hallo! So wie viele andere bin ich auch neu hier!

 

Aktuell habe ich folgenden Sachverhalt:

 

Bestimmter User in meiner AD sollen Software ohne den Admin installieren können. Das krieg ich auch soweit hin. Nur das Problem ist, das diese Programme alle anderen Nutzer auch sehen können und nutzen können. 

Kann mir hier jemand bei helfen?

 

 

Danke schon mal im Vorraus!

Link zu diesem Kommentar
cj_berlin Veteran

cj_berlin   1.137

Geschrieben
Geschrieben

Moin,

schau:

  • der Hersteller eines Programms baut einen Installer, der das Programm so installiert, dass Adminrechte zwar für die Installaiton, nicht aber für die Ausführung des Programms benötigt werden
  • Du gibst User A Adminrechte auf einer Maschine
  • User A installiert das Programm auf dieser Maschine
  • alle anderen können das Programm dann nutzen.

Alles by design also, Will damit sagen: Wenn Du verhindern willst, dass alle außer User A ein bestimmtes Programm nutzen können, hat es nichts damit zu tun, wer das Programm installiert hat. Hier brauchst Du Code-Ausführungskontrolle, bei Windows wäre das AppLocker. Damit kannst Du festlegen, wer bestimmte Programme starten darf - egal, wie sie auf die Maschine gekommen sind.

  • Like 1
Link zu diesem Kommentar
impuls87 Rookie

impuls87   0

Geschrieben
  • Autor
Geschrieben
vor 16 Stunden schrieb cj_berlin:

Moin,

schau:

  • der Hersteller eines Programms baut einen Installer, der das Programm so installiert, dass Adminrechte zwar für die Installaiton, nicht aber für die Ausführung des Programms benötigt werden
  • Du gibst User A Adminrechte auf einer Maschine
  • User A installiert das Programm auf dieser Maschine
  • alle anderen können das Programm dann nutzen.

Alles by design also, Will damit sagen: Wenn Du verhindern willst, dass alle außer User A ein bestimmtes Programm nutzen können, hat es nichts damit zu tun, wer das Programm installiert hat. Hier brauchst Du Code-Ausführungskontrolle, bei Windows wäre das AppLocker. Damit kannst Du festlegen, wer bestimmte Programme starten darf - egal, wie sie auf die Maschine gekommen sind.

Danke! Werde ich mal probieren!

 

vor 59 Minuten schrieb NilsK:

Moin,

 

Fangen wir doch mal von der richtigen Seite an: was ist denn die Anforderung, die du erfüllen musst? Wenn wir dazu mehr wissen, können wir dir vielleicht bessere Hinweise geben.

 

Gruß, Nils

 

Bestimmte User haben das Privileg selbstständig Software zu installieren (Entwickler zum Beispiel Phpstorm).
Mein aktuelles Problem ist das es dann aber global installiert wird. Sprich Jeder User hat das Programm, egal welche Berechtigungen der jeweilige User hat

Link zu diesem Kommentar
NorbertFe Grand Master

NorbertFe   1.800

Geschrieben
Geschrieben

Und an den Geräten der Entwickler sitzen andere Personen? Merkwürdig. Abgesehen davon: Installation von software läuft am Ende so gut wie immer auf administrative Rechte hinaus. Und somit sollte dann auch klar sein, dass der Administrator wissen sollte, was er tut. Am Ende entweder wie vorgeschlagen mit srp und applocker hantieren oder die software eben doch nicht Hinz und Kunz installieren lassen oder den Entwicklern dedizierte Maschinen geben. ;)

  • Like 1
Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.785

Geschrieben
Geschrieben

Moin,

 

Ich habe jetzt das Problem nicht verstanden. Wer arbeitet denn noch an den Entwickler-Rechnern? Und warum dürfen diese Leute die Software nicht benutzen?

 

Es geht nicht darum, dich infrage zu stellen, sondern das Szenario zu verstehen. Ohne solche Einblicke kann es sein, dass wir dir etwas empfehlen, was überhaupt nicht passt oder es anders besser oder leichter geht.

 

Gruß, Nils

  • Like 1
Link zu diesem Kommentar
impuls87 Rookie

impuls87   0

Geschrieben
  • Autor
Geschrieben
vor 3 Minuten schrieb NilsK:

Moin,

 

Ich habe jetzt das Problem nicht verstanden. Wer arbeitet denn noch an den Entwickler-Rechnern? Und warum dürfen diese Leute die Software nicht benutzen?

 

Es geht nicht darum, dich infrage zu stellen, sondern das Szenario zu verstehen. Ohne solche Einblicke kann es sein, dass wir dir etwas empfehlen, was überhaupt nicht passt oder es anders besser oder leichter geht.

 

Gruß, Nils

Ja alles gut, denke ich habe nicht alle Infos gegeben.

 

 

Es handelt sich hier um Mobile Arbeitsplätze, also über RD. Der Grund warum manche User nicht die Software nutzen dürfen, ist das diese Software Lizenzpflichtig ist, sprich kostenpflichtig. Die Rechte sprich GPO kriege ich alleine so hin. Nur Softwaretechnisch bin ich überfragt.

Ich habe es bisher nur bei einer Firma gesehen wo ich Praktikum hatte, das diese in der Lage sind über die AD Software und auch Lizenzen zu verteilen. Das war über das "Unternehmensportal".

 


Hoffe das man das so verstehen kann was ich genau vor habe.

Nochmal Entschuldigung. Hatte bisher nur wenige Tage Kontakt mit der AD, aber ist nunmal sehr interessant für mich.

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.785

Geschrieben
Geschrieben

Moin,

 

Dann ist die Sache entweder deutlich komplizierter oder viel einfacher - je nachdem, wie man sie angeht. Ein Holzweg ist es in so einer Umgebung jedenfalls, Anwender irgendwas selbst installieren zu lassen. So eine Umgebung lädt eigentlich dazu ein, den Anwendern einen genau auf sie zugeschnitten Satz an Software zu geben. Das dürfte aber den Rahmen dessen sprengen, was man in einem Forum erläutern kann. Ich empfehle, das gemeinsam mit jemandem zu entwerfen, der sich mit solchen Umgebungen (RDS oder VDI) auskennt.

 

Gruß, Nils

 

Link zu diesem Kommentar
impuls87 Rookie

impuls87   0

Geschrieben
  • Autor
Geschrieben
vor 4 Minuten schrieb NilsK:

Moin,

 

Dann ist die Sache entweder deutlich komplizierter oder viel einfacher - je nachdem, wie man sie angeht. Ein Holzweg ist es in so einer Umgebung jedenfalls, Anwender irgendwas selbst installieren zu lassen. So eine Umgebung lädt eigentlich dazu ein, den Anwendern einen genau auf sie zugeschnitten Satz an Software zu geben. Das dürfte aber den Rahmen dessen sprengen, was man in einem Forum erläutern kann. Ich empfehle, das gemeinsam mit jemandem zu entwerfen, der sich mit solchen Umgebungen (RDS oder VDI) auskennt.

 

Gruß, Nils

 

Alles klar.

 

Trotzdem Danke!

Link zu diesem Kommentar
testperson Grand Master

testperson   1.528

Geschrieben
Geschrieben

Hi,

 

theoretisch könnte man hier überlegen, eine RD Sammlung mit der gesamten Software zu betreiben und dann bspw. per FSLogix Application Masking den Usern die entsprechende Software "freigeben". Hier wäre die Frage, ob das lizenzrechtlich mit deiner (und ggfs. weiterer) Software so in Ordnung ist. Ein evtl. besserer Ansatz wäre es, pro Abteilung oder pro "Application Set" eine RD Sammlung zu erstellen. Bspw. eine Sammlung für die Entwickler, mit deren Software und weitere Sammlungen mit den passenden Anwendungen für "die anderen". Je nach Größe der Umgebung, den Anwendungen und wie dynamisch so was ist/werden soll, kann man das ganze bspw. noch mit verschiedenen Citrix Technologien im Bereich Management / Deployment oder auch für den Enduser optimieren.

 

Gruß

Jan

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...