UAC Probleem

Beste Tweakers,

Momenteel is UAC enabled voor domain computers zodat normale domain users geen rotzooi op hun PC kunnen installeren. Dit is voor een domein met ongeveer 25 workstations. Elke domain computer moet ongeveer 2x per week manueel een update uitvoeren van hun CRM pakket.

Door de UAC beperkingen kunnen ze dit niet uitvoeren. Ik zoek dus naar een mogelijkheid om voor deze specifieke applicatie UAC te disablen.

Volgens google bestaan hier heel wat exotische oplossingen voor. Ik lees ondermeer door het aanmaken van een scheduled task shortcut (http://www.sevenforums.co...ut-uac-prompt-create.html) of door het downloaden van Microsoft Application Compatibility Toolkit. (http://cybernetnews.com/h...rompt-for-an-application/)

Nu lijken mij deze oplossingen iets te vergezocht om gewoon een simpele update van een CRM pakket te kunnen doorvoeren. Ik ben eigenlijk op zoek naar een GPO oplossing voor dit probleem om alle PC's tegelijk te kunnen instellen. Helaas vind ik hiervan geen voorbeelden.

Iemand die raad/tips heeft voor deze issue?

CMD-Snake schreef op vrijdag 16 mei 2014 @ 06:59:
UAC kan niet selectief per applicatie werken. Wel per user.

Wel bijzonder dat je CRM pakket twee maal per week een update moet krijgen.

Je zou kunnen overwegen om als je de patch voor je CRM in MSI vorm krijgt om deze middels een GPO te pushen naar als je PC's. Dan installeert de GPO de patch en heeft de gebruiker geen admin rechten nodig. Als het een .exe is zou je ook nog deze kunnen pushen middels een login script of logoff script.

Er wordt gewoon een .exe uitgevoerd die lokaal op iedere PC staat. Bij het uitvoeren hiervan wordt een ftp-connectie opgezet die de nieuwste versie zal downloaden en daarna de huidige versie overschrijven.
Kan dus wel een goed idee zijn om dit via GPO te doen, enorm bedankt voor de tip!

Ik had nu als eenvoudige oplossing om domain users full control te geven op de .exe die lokaal op elke PC staat. Zijn niet zoveel PC's ook uiteindelijk.

Toen ik dan de .exe ging uitvoeren, werden de domain credentials niet aanvaard door UAC hoewel toch domain users full control hebben op de .exe

Verwijderd schreef op maandag 19 mei 2014 @ 12:30:
Als je pakket structureel bijgewerkt wordt kan je het beste om een MSI vragen. Die rollen via AD heel erg prettig uit zonder gedoe. Kan me bijna niet voorstellen dat je de enige klant bent die met dit probleem zit?
Deze manier van updates werkt onverstandig IT beleid in de had zoals users voorzien van lokale administrator rechten.

Als ik uitsluitend op die exe instel dat domain users hierop rechten hebben? Is toch nog een groot verschil dan direct de domain user lokale admin maken.

alt-92 schreef op dinsdag 20 mei 2014 @ 20:47:
Ook dat zal je dan niet helpen.
Wat is trouwens de naam van die .exe ?
Een aantal rereserveerde namen triggeren hoe dan ook UAC.

Waarom niet?
Dan kunnen de gebruikers met hun eigen gebruikersnaam authenticeren via UAC.

Glashelder schreef op donderdag 22 mei 2014 @ 08:58:
Omdat UAC niet getriggerd wordt als je geen rechten hebt om een bepaald bestand niet te lezen. UAC komt pas tevoorschijn als je programma acties wilt uitvoeren waar het user account niet toe gerechtigd is*. Waren ze dat wel, dan krijg je alleen een vraag om toestemming.

Maar blijkbaar wil je het niet begrijpen

*Als local admin krijg je de UAC prompt ook, omdat UAC ervoor zorgt dat je effectief zonder administrator rechten werkt, totdat je de toestemming aan UAC geeft om die rechten tijdelijk wel te geven

Waarom denk je dat UAC je probleem veroorzaakt?

"Waren ze dat wel, dan krijg je alleen een vraag om toestemming."

Sorry maar ik begrijp het inderdaad nog steeds niet. Volgens uw uitleg wordt UAC pas getriggerd als je iets wil uitvoeren waar je GEEN rechten toe hebt. Als ik die user full control op die .exe geef. Dan heeft hij toch WEL rechten om die .exe uit te voeren?

Glashelder schreef op donderdag 22 mei 2014 @ 13:04:
Precies. Dat je het recht hebt om een bestand te lezen of uitvoeren betekent nog niet dat dat bestand dan OOK het recht heeft om alles maar te mogen doen op die PC.

Je hebt bestandspermissies (1) en rechten op je lokale systeem (2). Deel 1 heb je nu afgedekt, alleen deel 2 niet. Waarschijnlijk probeert jouw .EXE te schrijven naar bijv. C:\Program Files en dat mag een normale user niet.

Dus dit probleem kan je op twee manieren oplossen. Oplossing één is het geven van lokale administrator rechten aan je gebruikers (zéér onverstandig). Oplossing twee is een opstartscript (géén log-in script, want die draait als de lokale user en heeft dus weer geen rechten) of een MSI die je via een GPO laat uitrollen. Die draaien beide onder het machineaccount en die heeft wel genoeg rechten.

Ok, erg dank voor het geduld & de duidelijke uitleg.
Kleine vraag: heeft de computeraccount heeft automatisch volledige rechten op het lokale systeem en het bestand zelf? Dus in principe definiër ik in startup script dat die .exe moet uitgevoerd worden.

Om verder te gaan op mijn vorig (slecht) idee. Nu de bestandspermissies goed staan, stel dat ik de rechten op mijn systeem dan ook nog eens aanpas? Ben ik er dan? Of is dit te kort door de bocht? Ik weet perfect naar welk pad de .exe schrijft. Als ik op die directory de user dan rechten toegeef, heb ik én deel 1 én deel 2 afgedekt.