Als normaler Benutzer Update installieren können

[Gast bxt]

Hallo , ein kunde von uns beschwert sich dass er immer uns administratoren rufen muss um updates für ein programm zu installieren, wir wollen dem kunden keine adminrechte geben , gibt es eine möglichkeit es einzurichten dass der kunde dieses update selber machen kann ?

[allesweg]

Welche Infrastruktur ist vorhanden? (einzelner PC irgendwo bei Einzelkunde bis Domäne mit Softwareverteilung)

Wie oft kommt es vor, dass diese Software aktualisiert werden muss?

Wer garantiert, dass das Update keine Seiteneffekte hat? Sprich: wer testet?

[KeeperOfCoffee]

Dazu kommt noch...wie wird das Update durchgeführt

[Gast bxt]

vor 7 Minuten schrieb allesweg:

Welche Infrastruktur ist vorhanden? (einzelner PC irgendwo bei Einzelkunde bis Domäne mit Softwareverteilung)

ist ein terminalserver , kunde ist bei sich in der domäne. 

vor 7 Minuten schrieb allesweg:

Wie oft kommt es vor, dass diese Software aktualisiert werden muss?

 

alle vier wochen ungefähr

vor 7 Minuten schrieb allesweg:

Wer garantiert, dass das Update keine Seiteneffekte hat? Sprich: wer testet?

ist ein programm was seit jahren geupdatet wurde , sollte es im fall der fälle probleme machen würden wir uns das anschauen 

[Gast bxt]

Gerade eben schrieb KeeperOfCoffee:

Dazu kommt noch...wie wird das Update durchgeführt

program starten , programm sagt es gibt nen update ,update starten , ende

[allesweg]

Und welche dringenden Feature-Updates sind das?

Oder sind da so oft Bugs drin, dass man zwingend jedes Update sofort einspielen muss?

Oder einfach mal die automatische Update-Suche deaktivieren und die Software zyklisch prüfen/aktualsieren?

[Gast bxt]

vor 17 Minuten schrieb allesweg:

Und welche dringenden Feature-Updates sind das?

Oder sind da so oft Bugs drin, dass man zwingend jedes Update sofort einspielen muss?

Oder einfach mal die automatische Update-Suche deaktivieren und die Software zyklisch prüfen/aktualsieren?

sind updates für ein zollprogramm , das muss geupdatet werden , ansonsten läuft das programm nicht

[allesweg]

Variante 1: die Admins updaten das Programm bei Bedarf, bevor der Anwender blockiert wird.

Variante 2: man reißt ein Sicherheitsloch rein und erlaubt diesem Programm/Anwender, außerhalb der bestehenden Sicherheitsregularien die Durchführung von Updates.

[tkreutz2]

vor 19 Minuten schrieb allesweg:

Variante 1: die Admins updaten das Programm bei Bedarf, bevor der Anwender blockiert wird.

Variante 2: man reißt ein Sicherheitsloch rein und erlaubt diesem Programm/Anwender, außerhalb der bestehenden Sicherheitsregularien die Durchführung von Updates.

Das ist ja auch eine Frage der Bewertung von Risiken und des Sicherheitskontextes.

Mir würden sich schon einige ergänzende Fragen aufdrängen z.B. 

• wer haftet denn, wenn ein Update schief läuft ?
• wer trägt die Verantwortung ?
• wer trägt die Kosten im Falle einer Notfallwiederherstellung ?
• wie ist das System / Daten gesichert ?
• welche Zeit wird benötigt, um im Worst-Case-Szenario wieder den Normalbetrieb herzustellen ?
• wie ist die Klassifizierung einer solchen Störung (z.B. tageweiser Systemausfall - Folgekosten usw.) ?
• welche Folgen hätte ein längerer Ausfall wegen eines fehlerhaften Updates ?

 

[KeeperOfCoffee]

Kann das Programm überhaupt im Produktivbetrieb geupdated werden? Nicht grundlos wird sowas oft zu späten Uhrzeiten gemacht ODER es wird ein Termin vereinbart und jedem ist klar, dass man es Programm jetzt nicht nutzen kann.

[Gast bxt]

vor 22 Stunden schrieb allesweg:

Variante 1: die Admins updaten das Programm bei Bedarf, bevor der Anwender blockiert wird.

Variante 2: man reißt ein Sicherheitsloch rein und erlaubt diesem Programm/Anwender, außerhalb der bestehenden Sicherheitsregularien die Durchführung von Updates.

wir werden vom kunden morgens angerufen und gebeten das update durchzuführen , der kunde soll keine vollen adminrechte bekommen , sondern lediglich das recht dass update eigenständig durchzuführen, 

 

vor 21 Stunden schrieb tkreutz2:

Das ist ja auch eine Frage der Bewertung von Risiken und des Sicherheitskontextes.

genau , und deswegen wollen wir dem kunden ja keine vollständigen adminrechte geben , sondern nur das recht das update durchzuführen.

vor 21 Stunden schrieb KeeperOfCoffee:

Kann das Programm überhaupt im Produktivbetrieb geupdated werden?

ja das geht ohne probleme , da kann man wirklich nichts falsch machen.

vor 21 Stunden schrieb KeeperOfCoffee:

Nicht grundlos wird sowas oft zu späten Uhrzeiten gemacht ODER es wird ein Termin vereinbart und jedem ist klar, dass man es Programm jetzt nicht nutzen kann.

also da es sowas wie ein paar mann betrieb ist , wäre das nicht das problem , das update kommt nachts raus , und wenn der kunde morgen das programm startet muss er es updaten , dafür ruft er uns an und wir übernehmen dass dann. 

 

 

 

ein großes dankeschön an die zahlreichen antworten bis jetzt !

[tkreutz2]

vor 11 Stunden schrieb Gast bxt:

genau , und deswegen wollen wir dem kunden ja keine vollständigen adminrechte geben , sondern nur das recht das update durchzuführen.

Würde als lokaler Admin gehen - nie gerne gesehen von IT Verantwortlichen aber eine Option.

[awesomenik]

Wären ja trotzdem Adminrechte und der User könnte dann nicht nur das Update durchführen sondern auch andere Programme installieren, was in den meisten Fällen nicht gewünscht ist.

Besser wäre, die Berechtigung für die für das Update benötigten Verzeichnisse anzupassen.So könnte der User wirklich nur dieses eine Programm updaten.

[Bitschnipser]

vor 1 Stunde schrieb awesomenik:

Besser wäre, die Berechtigung für die für das Update benötigten Verzeichnisse anzupassen.So könnte der User wirklich nur dieses eine Programm updaten.

Dann braucht er aber Zugriff auf alle Verzeichnisse die das Programm am Rechner anfasst beim Update und dann kann in diesem Ordner auch alles andere installiert werden

[awesomenik]

Das hängt vom Programm ab. Wenn man nur ein Verzeichnis braucht, in das man Schreibrechte braucht, kann der User auch einfach in sein eigenes Verzeichnis installieren.

Das ist ja der Weg, den Chrome, Teams etc. gehen und die Problematik mit den Admin-Rechten zu umgehen.

[tkreutz2]

Im Prinzip ist ein Programm, welches nicht über ein zeitgemäßes granuläres Verwaltungssystem verfügt, welches sich in moderne Infrastrukturen einfügen lösst schlicht und einfach Müll. Das sollte man so dem Kunden auch mal kommunizieren.

[Thanks-and-Goodbye]

Meinem technischen Verständnis nach ist das Vorhaben nicht möglich.

1. Anmeldung am TS (Terminalserver) zur Installation sollte mit /console geschehen, m.W. geht das nur mit Admin-Rechten auf dem TS.
2. change user /install ist m.W. auch nur mit Adminrechten möglich - jedenfalls werden nur so alle Umleitungen der Basisverzeichnisse aufgehoben und direkt in ini-files und Registry geschrieben: https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/change-user

Aus meiner Argumentationsschiene: ich mach nicht die Arbeit der Anwender, sondern stell denen ein Werkzeug zur Verfügung, damit sie ihre Arbeit machen - genau deshalb sollten es die User sein lassen, Admintätigkeiten vorzunehmen.

[tkreutz2]

vor 19 Stunden schrieb Chief Wiggum:

Aus meiner Argumentationsschiene: ich mach nicht die Arbeit der Anwender, sondern stell denen ein Werkzeug zur Verfügung, damit sie ihre Arbeit machen - genau deshalb sollten es die User sein lassen, Admintätigkeiten vorzunehmen.

Nicht nur das. Wenn ein Update in ein Programm eingearbeitet werden soll, sollte das Programm selbst über ein entsprechendes Rollensystem verfügen und nicht nur einfach auf die Rollen des Systems der Hostumgebung zugreifen.

Entsprechend sollten Updates in System- und Programmupdates unterteilt werden. Somit müssen nur systemseitige Updates vom SysAdmin eingespielt werden, wohingegen Programmupdates mit entsprechenden Userrechten auch vom User eingespielt werden können, ohne die Systemumgebung dabei zu gefährten. Darüber hinaus sollte das Programm auch über Funktionen zur Datensicherung- und Datenwiederherstellung bieten.

Alles andere ist schlicht und einfach unvernünftig. Denn nur so bekommt man eine saubere Trennung zwischen System- und Anwendung hin.

Bearbeitet 20. September 2020 von tkreutz2