impuls87 0 Geschrieben 13. August 2022 Melden Teilen Geschrieben 13. August 2022 Hallo! So wie viele andere bin ich auch neu hier! Aktuell habe ich folgenden Sachverhalt: Bestimmter User in meiner AD sollen Software ohne den Admin installieren können. Das krieg ich auch soweit hin. Nur das Problem ist, das diese Programme alle anderen Nutzer auch sehen können und nutzen können. Kann mir hier jemand bei helfen? Danke schon mal im Vorraus! Zitieren Link zu diesem Kommentar
cj_berlin 1.306 Geschrieben 13. August 2022 Melden Teilen Geschrieben 13. August 2022 Moin, schau: der Hersteller eines Programms baut einen Installer, der das Programm so installiert, dass Adminrechte zwar für die Installaiton, nicht aber für die Ausführung des Programms benötigt werden Du gibst User A Adminrechte auf einer Maschine User A installiert das Programm auf dieser Maschine alle anderen können das Programm dann nutzen. Alles by design also, Will damit sagen: Wenn Du verhindern willst, dass alle außer User A ein bestimmtes Programm nutzen können, hat es nichts damit zu tun, wer das Programm installiert hat. Hier brauchst Du Code-Ausführungskontrolle, bei Windows wäre das AppLocker. Damit kannst Du festlegen, wer bestimmte Programme starten darf - egal, wie sie auf die Maschine gekommen sind. 1 Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 14. August 2022 Melden Teilen Geschrieben 14. August 2022 Moin, Fangen wir doch mal von der richtigen Seite an: was ist denn die Anforderung, die du erfüllen musst? Wenn wir dazu mehr wissen, können wir dir vielleicht bessere Hinweise geben. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
impuls87 0 Geschrieben 14. August 2022 Autor Melden Teilen Geschrieben 14. August 2022 vor 16 Stunden schrieb cj_berlin: Moin, schau: der Hersteller eines Programms baut einen Installer, der das Programm so installiert, dass Adminrechte zwar für die Installaiton, nicht aber für die Ausführung des Programms benötigt werden Du gibst User A Adminrechte auf einer Maschine User A installiert das Programm auf dieser Maschine alle anderen können das Programm dann nutzen. Alles by design also, Will damit sagen: Wenn Du verhindern willst, dass alle außer User A ein bestimmtes Programm nutzen können, hat es nichts damit zu tun, wer das Programm installiert hat. Hier brauchst Du Code-Ausführungskontrolle, bei Windows wäre das AppLocker. Damit kannst Du festlegen, wer bestimmte Programme starten darf - egal, wie sie auf die Maschine gekommen sind. Danke! Werde ich mal probieren! vor 59 Minuten schrieb NilsK: Moin, Fangen wir doch mal von der richtigen Seite an: was ist denn die Anforderung, die du erfüllen musst? Wenn wir dazu mehr wissen, können wir dir vielleicht bessere Hinweise geben. Gruß, Nils Bestimmte User haben das Privileg selbstständig Software zu installieren (Entwickler zum Beispiel Phpstorm). Mein aktuelles Problem ist das es dann aber global installiert wird. Sprich Jeder User hat das Programm, egal welche Berechtigungen der jeweilige User hat Zitieren Link zu diesem Kommentar
NorbertFe 2.027 Geschrieben 14. August 2022 Melden Teilen Geschrieben 14. August 2022 Und an den Geräten der Entwickler sitzen andere Personen? Merkwürdig. Abgesehen davon: Installation von software läuft am Ende so gut wie immer auf administrative Rechte hinaus. Und somit sollte dann auch klar sein, dass der Administrator wissen sollte, was er tut. Am Ende entweder wie vorgeschlagen mit srp und applocker hantieren oder die software eben doch nicht Hinz und Kunz installieren lassen oder den Entwicklern dedizierte Maschinen geben. ;) 1 Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 14. August 2022 Melden Teilen Geschrieben 14. August 2022 Moin, Ich habe jetzt das Problem nicht verstanden. Wer arbeitet denn noch an den Entwickler-Rechnern? Und warum dürfen diese Leute die Software nicht benutzen? Es geht nicht darum, dich infrage zu stellen, sondern das Szenario zu verstehen. Ohne solche Einblicke kann es sein, dass wir dir etwas empfehlen, was überhaupt nicht passt oder es anders besser oder leichter geht. Gruß, Nils 1 Zitieren Link zu diesem Kommentar
impuls87 0 Geschrieben 14. August 2022 Autor Melden Teilen Geschrieben 14. August 2022 vor 3 Minuten schrieb NilsK: Moin, Ich habe jetzt das Problem nicht verstanden. Wer arbeitet denn noch an den Entwickler-Rechnern? Und warum dürfen diese Leute die Software nicht benutzen? Es geht nicht darum, dich infrage zu stellen, sondern das Szenario zu verstehen. Ohne solche Einblicke kann es sein, dass wir dir etwas empfehlen, was überhaupt nicht passt oder es anders besser oder leichter geht. Gruß, Nils Ja alles gut, denke ich habe nicht alle Infos gegeben. Es handelt sich hier um Mobile Arbeitsplätze, also über RD. Der Grund warum manche User nicht die Software nutzen dürfen, ist das diese Software Lizenzpflichtig ist, sprich kostenpflichtig. Die Rechte sprich GPO kriege ich alleine so hin. Nur Softwaretechnisch bin ich überfragt. Ich habe es bisher nur bei einer Firma gesehen wo ich Praktikum hatte, das diese in der Lage sind über die AD Software und auch Lizenzen zu verteilen. Das war über das "Unternehmensportal". Hoffe das man das so verstehen kann was ich genau vor habe. Nochmal Entschuldigung. Hatte bisher nur wenige Tage Kontakt mit der AD, aber ist nunmal sehr interessant für mich. Zitieren Link zu diesem Kommentar
NilsK 2.930 Geschrieben 14. August 2022 Melden Teilen Geschrieben 14. August 2022 Moin, Dann ist die Sache entweder deutlich komplizierter oder viel einfacher - je nachdem, wie man sie angeht. Ein Holzweg ist es in so einer Umgebung jedenfalls, Anwender irgendwas selbst installieren zu lassen. So eine Umgebung lädt eigentlich dazu ein, den Anwendern einen genau auf sie zugeschnitten Satz an Software zu geben. Das dürfte aber den Rahmen dessen sprengen, was man in einem Forum erläutern kann. Ich empfehle, das gemeinsam mit jemandem zu entwerfen, der sich mit solchen Umgebungen (RDS oder VDI) auskennt. Gruß, Nils Zitieren Link zu diesem Kommentar
impuls87 0 Geschrieben 14. August 2022 Autor Melden Teilen Geschrieben 14. August 2022 vor 4 Minuten schrieb NilsK: Moin, Dann ist die Sache entweder deutlich komplizierter oder viel einfacher - je nachdem, wie man sie angeht. Ein Holzweg ist es in so einer Umgebung jedenfalls, Anwender irgendwas selbst installieren zu lassen. So eine Umgebung lädt eigentlich dazu ein, den Anwendern einen genau auf sie zugeschnitten Satz an Software zu geben. Das dürfte aber den Rahmen dessen sprengen, was man in einem Forum erläutern kann. Ich empfehle, das gemeinsam mit jemandem zu entwerfen, der sich mit solchen Umgebungen (RDS oder VDI) auskennt. Gruß, Nils Alles klar. Trotzdem Danke! Zitieren Link zu diesem Kommentar
testperson 1.674 Geschrieben 14. August 2022 Melden Teilen Geschrieben 14. August 2022 Hi, theoretisch könnte man hier überlegen, eine RD Sammlung mit der gesamten Software zu betreiben und dann bspw. per FSLogix Application Masking den Usern die entsprechende Software "freigeben". Hier wäre die Frage, ob das lizenzrechtlich mit deiner (und ggfs. weiterer) Software so in Ordnung ist. Ein evtl. besserer Ansatz wäre es, pro Abteilung oder pro "Application Set" eine RD Sammlung zu erstellen. Bspw. eine Sammlung für die Entwickler, mit deren Software und weitere Sammlungen mit den passenden Anwendungen für "die anderen". Je nach Größe der Umgebung, den Anwendungen und wie dynamisch so was ist/werden soll, kann man das ganze bspw. noch mit verschiedenen Citrix Technologien im Bereich Management / Deployment oder auch für den Enduser optimieren. Gruß Jan Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.