Назад | Перейти на главную страницу

Как разрешить обновление программы без запроса UAC?

У нас около 15-20 пользователей, у которых есть это программное обеспечение установлены.

У нас включен UAC через GPO, как и следует, что означает, что программное обеспечение запрашивает одобрение администратора, если стандартный пользователь пытается его установить. Ничего страшного, они могут позвонить в службу поддержки, чтобы установить программное обеспечение.

Моя проблема в том, что наша служба поддержки подвергается бомбардировке каждый день, потому что пользователи не могут обновлять программное обеспечение, а обновления появляются почти каждый день, что вызывает UAC.

Используя procmon.exe, чтобы узнать, куда он пытается записать, я затем создал объект групповой политики, чтобы разрешить доступ к файлам с правами доступа к папке программных файлов для этого конкретного программного обеспечения, включая папку данных программы, но он все еще запрашивает одобрение администратора. Кажется, что программа использует msiexec.exe для запуска файла исправления .msp.

Единственное сообщение «ЗАПРЕЩЕННЫЙ ДОСТУП», которое я все еще вижу в procmon, это такие вещи:

Что я могу сделать, чтобы это программное обеспечение не запрашивало UAC с учетными данными пароля администратора, помимо отключения UAC?

К сожалению, эту проблему неудобств решить нелегко, поскольку на самом деле вы говорите о неправильно работающем программном обеспечении - не предназначенном для корпоративной среды, где рабочие станции заблокированы. Вам нужно будет выбрать программное обеспечение, которое может работать без агрессивного применения исправлений, затем вы сможете управлять расписанием и самостоятельно выпускать их после их подписания. Вот почему системные администраторы избегают потребительского программного обеспечения, которое пытается часто обновляться.

У меня уже была такая проблема, и моя работа заключалась в том, чтобы запустить определенную программу под другой учетной записью пользователя. Если ваше программное обеспечение может использовать учетную запись LSA, возможно, вам повезет больше.

Вам необходимо подписать пакеты MSI и пакеты MSP. Это длинный список шагов, подробно описанных в MSI SDK: Исправление контроля учетных записей пользователей (UAC)

Я не уверен, почему ты говоришь UAC enabled through GPO as you should. Я не согласен с этим утверждением. У пользователей не должно быть прав администратора, проблема с UAC решена.

Что касается решения проблемы, почему вы заставляете пользователей устанавливать обновления, а не отправлять их через GPO с помощью сценария запуска или политики установки программного обеспечения? Похоже, это было бы проще, чем пытаться отладить это с помощью procmon, и должен избавить адскую службу от некоторых неприятностей, помимо того, что «делает все правильно» и обеспечивает согласованную среду.