Softwareinstallation als Benutzer

Das Recht: Software installieren

Wie kann ich Software im Benutzerkontext installieren oder wie vergebe ich dem Benutzer das Recht Software zu installieren?

1. Gar nicht
2. Sowieso nicht
3. Es geht nicht
4. ... auch nicht mit Tricks.

Es gibt kein einzelnes Recht "Software installieren".
Dieses wäre gleichbedeutend mit Administratorberechtigungen.

Warum?
Weil Microsoft keine Kontrolle über die Art der Programmierung von Dritthersteller Produkten hat.

Es hängt grundsätzlich von dem zu installierenden Programm ab, ob man evtl. die Berechtigungen nicht doch "austricksen" kann.
Die Frage ist immer:
- wohin installiert sich das Produkt?
- welche Pfade im Dateisystem sind betroffen?
- müssen DLLs registriert werden?
- werden Dienste installiert?
- werden Treiber installiert?
- erfolgt sogar direkter Zugriff auf die Hardware?
- in welchen Pfade der Registry trägt sich das Programm ein?

Genauso wenig wie ich die Installation zulassen kann, kann ich sie verbieten, denn:
- viele Programme entpacken sich nur und starten egal von wo
- viele Programme hinterlegen alle notwendigen Dateien im eigenen Verzeichnis
- manchmal ist es eine einzelne .exe, mehr nicht
- viele benötigen keinen Registry Zugriff

Theoretisch kann der MSI Installer immer mit erhöhten Berechtigungen ausgestattet werden, was aber nicht immer zur Installation ausreicht und auf der anderen Seite ein extremes Risiko darstellt, da es für den MSI Installer im generellen gilt und nicht für ein Programm im speziellen. Was aber ist mit jeder anderen Version einer "setup.exe" die nicht den MSI Installer verwendet? Damit wären wir beim Ausgangspunkt angelangt.

Es gibt kein einzelnes Recht "Software installieren".
Das ist gleichbedeutend mit Administratorberechtigungen.

Welche Alternativen bleiben mir dann als Administrator?
- Softwarezuweisung über das Active Directory mit MS eigenen Bordmitteln oder professionellen Tools
- Privilige Manager von Beyond Trust (ehemals Policy Maker Application Security von Desktopstandard)

Warum nehme ich nicht Programme, wie "makemeadmin"
- weil ihr dann die User gleich zu lokalen Administratoren machen könnt
- wer kontrolliert, welche Programme der Benutzer mit diesen "Tools" ausführt? Keiner, weil es nicht geht.

oder "Microsoft Elevated Privileges Application Launcher"?
- weil es umständlich zu administrieren ist

(c) 2003 - heute, Mark Heitbrink, weitere Informationen unter WebSite-Info\Copyright