Installation ausschließlich als Admin

[MP_green]

Hallo, ihr Lieben,

Verzeihung, wenn es dazu schon ein Thema gibt - allerdings habe ich keines finden können, das mir weitergeholfen hat.
Folgendes:
Ich sitze hier an einem PC-Pool. Jeder Rechner ist mit Windows 10 und zwei Benutzerkonten ausgestattet: der normale Benutzer und der Administrator.
Zur Installation etwaiger Software liegt die Einstellung vor, dass dies lediglich dem Admin mit Passworteingabe vorbehalten ist. Nun bin ich auf eine Software gestoßen, die diese Abfrage überhaupt nicht verlangt hat - was für den geplanten Workflow und die Sicherheit ein Problem darstellt.

Gibt es eine Sonder-Option, die angewählt werden muss, welche Installationen ohne Adminrechte generell völlig ausschließt oder müsste ich einfach damit leben, dass es Software gibt, bei der keine Abfrage nach dem Passwort erfolgt?

LG

 

[thealex]

Software, die ausschließlich im User Scope installiert wird, umgeht diese Abfrage, da keine Änderungen am gesamten System ("für Alle installieren") vorgenommen werden. MS Teams wäre ein prominenter Kandidat für sowas z.B.

 

[MP_green]

Ah, ergibt Sinn.

Und es gibt keine Option, das zu verbieten?

Ich entnehme der Antwort "Nein", frage aber sicherheitshalber trotzdem nochmal ganz blöde 😄

 

[sikarr]

Und es gibt keine Option, das zu verbieten?

Gib dem Benutzer "Gast" Rechte, dann kann er gar nix ändern. Für mehr oder feinere Einstellung wäre ein AD von Vorteil.

 

[cartridge_case]

Klar kann man das unterbinden. Man könnte mit Whitelists für *.exe-Dateien arbeiten.

 

[jube]

Umgehen kann man das alles irgendwie, außer vielleicht Einstellungen im Netzwerk (wenn man online ist wie bei Teams).

 

[whats4]

du kannst auch ohne admin anwendungen installieren...
...WENN...
die installation auf das user verzeichnis zielt. beispiel: tor browser
bzw alles, was nur für einen user zugänglich ist, weil in seinem user verzeichnis installiert.
weil sein "home" rechtemäßig dem user gehört.

aber alles, was systemweit (c:\programme bzw c:\programme x86) installiert werden soll, braucht halt erhöhte rechte.
aber eigentlich klar.
wenn user-only krethi&plethi systemweite rechte hätten, führt das den administrator account ad absurdum.

 

[MP_green]

Danke für eure Antworten.

Ich schaue mal, ob ich mit den Ansätzen etwas für den Pool Funktionierendes zusammenkriege 😊

 

[BeBur]

Ich hab früher mal den Restric'tor verwendet. Damit lassen sich komfortabel die Gruppenrichtlinien so anpassen, dass nur Whitelisted Programme ausgeführt werden können. Vielleicht passt das ja zu deinem Anwendungsfall. Jedenfalls könnte der normale Nutzer damit dann gar keine Programme mehr installieren.

 

[thrawnx]

Wie schon gesagt wurde, es gibt immer einen Weg vorbei, die Frage ist nur wie groß der Aufwand ist. Du kannst z.B. mit einer portable Version eines Paketmanagers wie Chocolatey eine ganze Menge Sachen, die sonst Admin Rechte für die Installation brauchen, daran vorbei schmuggeln, einfach weil die Installation über PS Skripte abläuft. Viele Wege führen nach Rom...

 

[BeBur]

Ich kenne das so, dass mit VMs gearbeitet wird und nach dem Logout des Nutzers schlicht der State verworfen wird, also beim nächsten Login dann wieder das ursprüngliche Image geladen wird. Was sinnvoll ist hängt aber natürlich davon ab, was konkret erreicht werden soll bzw. vom konkreten Anwendungsfall.