Instalace programu na XP s profilem se snizenymi pravy
Ahoj,
chtěl bych se zeptat, jestli vubec neco takoveho je možné:
Mám počítač s win xp na kterém běžný uživatel má práva users
Když na něj chci něco nainstalovat tak to samozřejmě nejde.
Já mám na počítači práva administrators a instalace jsem schopný pustit i vzdáleně po lan,
ovšem pod svým účtem. Takže program pak následně udělá zástupce na mé ploše a ne toho uživatele, který s tím má pracovat. Zrovna tak jako případné profilové data, údaje a nastavení, které se nastaví do mého profilu a ne dotyčného uživatele.
Jde to nějak udělat, abych to nainstaloval dotyčnému uživateli, aniž bych mu zvyšoval práva nebo po něm chtěl jeho přihlášení, které nechci znát ?
Prava mys na instalatoru a spustit jako administrator. Pak spustis instalator s pravy administratora a nemusis odhlasovat uzivatele a instalovat to pod administratorem
Jenže pokud vím, to jde v 7 ne v XP
Navic, kdyby to šlo udělat nějak vzdáleně tak bych si to mohl naskriptovat pro víc počítačů.
Apropos není náhodou funkce "spustit jako administrator" pouze obejitim UAC ?
Samozrejme, ze to jde i ve WinXP (proc to nevyzkousis?). Vzdalene to muzes udelat pomoci commandline prikazu RunAs.
Funkce Spustit jako administrator neni obejiti UAC. Je to moznost, jak pracovat standardne v profilu se snizenymi pravy. UAC je neco jineho.
Jednak runas je pouze lokalní a pak neda se tam command line dat i heslo, aby to bylo automaticky.
Pouzil bych psexec, ovsem opet mi to neresi problem s tim, aby byl program nainstalovany na profil ktery chci a ne ten muj, nebo nejaky univerzalni.
ale samozřejmě že dá. Je to volba /savecred
Směšuje se tu několik věcí, dovolím si je uvést na pravou míru.
1. instalace SW je možná jak pod účtem s admin právy, tak pod účtem s běžnými právy, nicméně v tomto případě musí s tímto stavem instalátor počítat (např. MSI balíčky lze na toto uzpůsobit jedním parametrem, pak se instaluje do local settings v profilu. Obecně to ale není dobrý nápad, navíc ne všechny programy takto lze nainstalovat, protože instalaci ovladačů a jiných systémových komponent, jakož i změnám v registru HKLM větve budou jednoznačně chybět práva na změny, a tudíž to (ani náhodou) fungovat nebude. I proto je tento instalační model pouze volitelný, nikoli defaultní. Jako příklad může sloužit google Chrome, který se takto umí/uměl nainstalovat.
2. Instaluje-li administrátor, instaluje programové soubory obecné (program files apod.) a následně může pomocí automatizovaného skriptu v instalátoru vytvořit ikony, nastavení apod. Ikony může instalátor umístit buď na plochu a do nabídky start instalujícího uživatele, NEBO do složky "all users" (od W Vista je umístění plochy a startnabídky "rozdvojeno" do složky C:\ProgramData a C:\Users\Public). Dobrý instalátor se "zeptá" kam má tyto data umístit, špatný nikoli, a pak je na administrátorovi, aby tyto ikony (linky) přesunul a náležitě upravil přístupová práva.
3. Po instalaci vlastních dat (ale ještě v rámci běžicího instalačního programu) může dojít k nastavení uživatelských předvoleb, respektive k nastavení registrů v HKCU. Zde opět platí, že záleží na korektním instalátoru, zda změny provede tak, aby při dalším přáihlášení nových uživatelů proběhlo donastavení těchto vlastností i u nich (toto umí MSI balíčky, příkladem budiž např. instalace IE nebo MS Office), nebo zda je "hloupý" a toto neudělá. V takovém případě musí opět nastoupit admin a udělat změny ručně. jistou volbou pro nové počítače je změna výchozího profilu (profil Default user do win XP, od Win Vista už jen "Default") - toto lze ale použít pouze pro uživatele, kteří ještě nemají v PC vytvořen profil.
4. (toto je už jen reakce na diskusi) Funkci "spustit jako" měly už Windows 2000, příkaz runas byl dokonce dostupný už pro NT4 (ovšem jen jako součást resource kitu).
TO je fajn a myslím že tohle všechno vím, ale jak to řeší můj dotaz ?
Opět se budu opakovat: když použiju "Spustit jako" tak to můžu buď nainstalovat do default profilu, nebo do sveho profilu, nikoliv vsak do profilu daneho uzivatele.
Zeptam se jinak:
Kdyz mam treba 200 pocitacu a na nich domenove uzivatele, s pravy "domain users" jak jim muzu hromadne na profil neco nainstalovat, kdyz nemaji dostatecna opravneni ?
Do Default profilu nic nenainstaluješ. Maximálně do profilu "all users", a to je něco jiného. Stále mám dojem, že v tom trochu plaveš, navzdory tvým proklamacím o opaku
A jaký je problém ta data, co ti nainstaloval ten program zkopírovat do správného umístění pomocí vzdáleného skriptu až po instalaci?
A vůbec - pokud máš doménu o 200 PC, proč nepoužiješ doménové nástroje, jako je instalace a modifikace počítačů pomocí GPO?
Protoze se mi moc v GPO nechce vrtat (nejsem v tom tolik kovany) a radej si to naskriptuju sam.
Kdybych v tom neplaval, nejsem tady
Se obavam, ze to jinak neudelas - nez pod tim uzivatelem.
Klasicky priklad - Office. Kdyz je nainstaloval jako jiny uzivatel, uzivateli bez prav pri prvnim spusteni se spoustel stale ten instalator, dokud se uzivateli nedala admin. prava. Pak stacilo nechat dojet tu konfiguraci, pak uz se ty prava mohly zase odebrat.
A takovych SW je stale jeste dost.
ano, viz bod 3. - vlastnost MSI balíčků, ale toto není o admin právech, ale špatně vytvořeném MSI balíku, nebo jeho vadné implementaci do sítě (typicky pomocí "transformačních" MST souborů). MSO funguje opravdu správně a uživateli se dokonfiguruje korektně, je-li dobře zadministrována instalace.
pkud chceš tedy skriptovat ručně, udělej to tak, že to nainstaluješ adminovi a následně spustíš další skript, který přesune ikony a uživateli přidá do složky "po spuštění" další skript, který mu zkopíruje z nějakého adresáře (např. "all users", kam jsi přesunul konfiguraci ze složky admina) tato nastavení.
edit: všechno jde udělat vzdáleně..
jo, takto bych to páchal s překopírováním zástupců do "all users"
tazatel ať si ověří, že když ty zástupce přesune, že k nim omezení uživatelé nejspíš nebudou mít práva.
TO je to nejmenší, páč to je otázka jednoho řádku pro cacls
větší sranda bude s registry, ale ja se s tím porvu.
Každopádně všem díky za zajímavé podněty.
registry přece budou stejné, ne? stačí vyexportovat na jednom "vzorovém" stroji a pak userům v rámci skriptu naimportovat. Navíc je to textový soubor, takže je jej možné dokonce i ad-hoc customizovat.
edit: ten skript ovšem musí běžet v kontextu uživatelova účtu.
No celkem to bude několik fází:
1) přesun souborů
2) přeimportování registrů
3) změna případných konfigů a registrů
Ono nejde o to jen přetáhnout registry ale taky případně změnit odkazování na jinou cestu.
Takže to bude docela prča.
Vím, že to půjde vzdálně. Jen z mého podání to bude pěkná prasárna
ještě bych ti doporučil prozkoumat možnosti WPKG: wpkg.org, tím si můžeš ušetřit hodně práce..
super, diky