Softwareinstallation als Benutzer, oder das Recht: Software installieren

09.01.2013 | Autor: Mark Heitbrink

Wie kann ich Software im Benutzerkontext installieren oder wie vergebe ich dem Benutzer das Recht Software zu installieren?

  1. Gar nicht
  2. Sowieso nicht
  3. Es geht nicht
  4. ... auch nicht mit Tricks.

Es gibt kein einzelnes Recht "Software installieren".  Das Recht ist gleichbedeutend mit Administratorberechtigungen.

Warum?
Weil Microsoft keine Kontrolle über die Art der Programmierung von Dritthersteller Produkten hat.
Es hängt grundsätzlich von dem zu installierenden Programm ab, ob man evtl. die Berechtigungen nicht doch "austricksen" kann.

Die Frage ist immer:

  • Wohin installiert sich das Produkt?
  • Welche Pfade im Dateisystem sind betroffen?
  • Müssen DLLs registriert werden?
  • Werden Dienste installiert?
  • Werden Treiber installiert?
  • Erfolgt sogar direkter Zugriff auf die Hardware?
  • In welchen Pfade der Registry trägt sich das Programm ein?

Genauso wenig wie ich die Installation zulassen kann, kann ich sie verbieten, (abgesehen von Tools wie Applocker), denn:

  • Viele Programme entpacken sich nur und starten egal von wo
  • Viele Programme hinterlegen alle notwendigen Dateien im eigenen Verzeichnis
  • Manchmal ist es eine einzelne .exe, mehr nicht
  • Viele benötigen keinen Registry Zugriff

Welche Alternativen bleiben mir dann als Administrator?

  • Softwarezuweisung über das Active Directory mit MS eigenen Bordmitteln oder professionellen Tools
  • Drittanbieter, wie Avecto und BeyondTrust

Warum nehme ich nicht Programme, wie "makemeadmin"  

  • Weil ihr dann die User gleich zu lokalen Administratoren machen könnt
  • Wer kontrolliert, welche Programme der Benutzer mit diesen "Tools" ausführt? Keiner, weil es nicht geht.