Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Разработка информационных систем Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 Инсталлятор с запуском без прав админа  [new]
ctroymag26
Member

Откуда:
Сообщений: 19
Здравствуйте!

Выпускаем приложение с апдейтером.
Много пользователей самостоятельно устанавливают приложение, но в организациях с системой безопасности установка блокируется и требуется ввод админской учетки.
1)Можно ли создать простой инсталлятор на который не реагирует не будет запроса админской учетки?
2)Или инструкцию по настройке рабочей станции и домена с разшенениями на конкретную программу?
5 сен 17, 12:18    [20772258]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 43931
Инсталлятор, не требующих админских (на самом деле достаточно Power User) привилегий это простой архив, который распаковывается в любую папку и дальше программа работает из неё. Если ваша программа так не умеет - обломитесь.
5 сен 17, 14:28    [20772902]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 30362
ctroymag26,
Причём тут инсталлятор?
Если там нет драйвера и юзверь ставит в users.Pupkin то в чём проблема?
Наверно в том что вы сами не проверяли.
5 сен 17, 14:35    [20772952]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
ctroymag26
Member

Откуда:
Сообщений: 19
наше приложение часто обновляется и много пользователей с разных городов.

пытались по всякому:
инсталлятором, обычным архивом, архивом с паролем и даже закачка с сайта по протоколу https с платным сертификатом.

- если устанавливать на компьютер с флэшкой и копировать или запускать с нее, то права админа не нужны.
- если скачивать с сайта то даже просто из распакованного обычного скачанного архива требуются права админа для запуска exe-ка.
Windows 10 не блокирует запуск приложения, а проблема в windows 8.1

здесь наверное потребуется инструкция для сис. админов, в которой будет прописано как выдать разрешения на конкретную программу или инсталлятор.
в администрировании нет опыта, поэтому прошу знающих помочь с такой инструкцией.
5 сен 17, 16:16    [20773407]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
LSV
Member

Откуда: Киев
Сообщений: 30144
Инсталляторы без полномочий не сработают в папку ПрограммФайлс. Эт да....
Но в другую папку - вполне.

Ну и прав на запись в реестр может не быть.
5 сен 17, 16:28    [20773442]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
hVostt
Member

Откуда:
Сообщений: 11770
ctroymag26,

ClickOnce обходит этот момент. Не углублялся, можно погуглить на тему как это работает. Устанавливает в папку пользователя.
5 сен 17, 16:44    [20773497]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Pu4koff
Member

Откуда:
Сообщений: 270
Лично я терпеть не могу приложения с апдейтерами. msi для админства - самое норм, как по мне. Засунул в WSUS и пущай обновляется штатными виндовыми средствами. Админы могут много чего наворотить. Могут и SRP и/или AppLocker настроить и разрешить запускать только конкретные программы из конкретных мест или только подписанные exe'шники.
По поводу загруженной по сети проги: начиная с какой-то версии винды файлам добавили дополнительный атрибут. В свойствах файла на первой же вкладке внизу должен быть checkbox с припиской типа: файл получен с другого компа и заблокирован с целью защиты. Я не сталкивался с такой проблемой, не смотрел как фиксить, может если подписывать экзешник ЭЦП, то эта фича уйдёт. Думал, что упаковка в архив эту штуку даёт обходить, но раз так пробовали, то не подскажу.
Состыкуйтесь с каким-нибудь нормальным админом клиента, а лучше несколькими разными админами и спросите как им удобнее и что нужно. Уж очень много вариантов раздачи прав и разрешений. Может у кого так всё зарезано, что в принципе никак не обойти и обновляться только через админа. Заодно люди оценят такую клиентоориентированность :)
5 сен 17, 16:45    [20773501]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Pu4koff
Member

Откуда:
Сообщений: 270
hVostt
ctroymag26,

ClickOnce обходит этот момент. Не углублялся, можно погуглить на тему как это работает. Устанавливает в папку пользователя.

Если в домене настроен SRP или Applocker определённым образом, то всякие ClickOnce так же пойдут лесом.
5 сен 17, 16:49    [20773511]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 30362
ctroymag26
если устанавливать на компьютер с флэшкой и копировать или запускать с нее, то права админа не нужны.
- если скачивать с сайта то даже просто из распакованного обычного скачанного архива требуются права админа для запуска exe-ка.

Не понял проблему.
Если скачивать с ФТП организации или ваших разрабов, то это ничем не отличается "с флешки"
Так?
5 сен 17, 17:34    [20773628]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Pu4koff
Member

Откуда:
Сообщений: 270
Petro123
ctroymag26
если устанавливать на компьютер с флэшкой и копировать или запускать с нее, то права админа не нужны.
- если скачивать с сайта то даже просто из распакованного обычного скачанного архива требуются права админа для запуска exe-ка.

Не понял проблему.
Если скачивать с ФТП организации или ваших разрабов, то это ничем не отличается "с флешки"
Так?

Если флешка не NTFS, то будет отличаться :)
5 сен 17, 17:42    [20773646]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 30362
Pu4koff,
Ждём автора с тестами)
6 сен 17, 07:25    [20774277]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
hVostt
Member

Откуда:
Сообщений: 11770
Pu4koff
hVostt
ctroymag26,

ClickOnce обходит этот момент. Не углублялся, можно погуглить на тему как это работает. Устанавливает в папку пользователя.

Если в домене настроен SRP или Applocker определённым образом, то всякие ClickOnce так же пойдут лесом.


Ну что поделать. Если на клавиатуру и мышь повесить амбарный замок, то будет вообще хорошо
6 сен 17, 08:51    [20774374]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 43931
ctroymag26
- если скачивать с сайта то даже просто из распакованного обычного скачанного архива требуются права админа для запуска exe-ка.

Скорее всего вы даёте скачивать не архив, а не посредственно exe-шник. Большая ошибка.
6 сен 17, 14:03    [20775622]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
LSV
Member

Откуда: Киев
Сообщений: 30144
Dimitry Sibiryakov
ctroymag26
- если скачивать с сайта то даже просто из распакованного обычного скачанного архива требуются права админа для запуска exe-ка.

Скорее всего вы даёте скачивать не архив, а не посредственно exe-шник. Большая ошибка.
А какая разница ? Все равно надо запускать ехе.
6 сен 17, 14:45    [20775783]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Pu4koff
Member

Откуда:
Сообщений: 270
LSV
Dimitry Sibiryakov
пропущено...

Скорее всего вы даёте скачивать не архив, а не посредственно exe-шник. Большая ошибка.
А какая разница ? Все равно надо запускать ехе.

Если качать непосредственно exe'шник, то винда пометит его как полученный по сети и заблокирует не для админа. Если засунуть в архив, то архив пометится как опасный, но архиватор скорее всего сможет его открыть. Когда уже exe'шник будет распакован из этого архива, то у него пометки не будет, что он откуда-то извне получен, вроде он тут и был. Если никаких дополнительных блокировок не настроено у людей, то такой финт ушами может прокатить.
6 сен 17, 15:03    [20775846]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
hVostt
Member

Откуда:
Сообщений: 11770
Pu4koff,

FAT32 на флешке тож наверное прокатит
6 сен 17, 15:12    [20775890]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 30362
Pu4koff
Если качать непосредственно exe'шник, то винда пометит его как полученный по сети и заблокирует

+1
6 сен 17, 15:15    [20775903]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
azsx
Member

Откуда:
Сообщений: 523
Но ведь архив также винда пометит как полученный с сети и предупредит об этом.
Какой всё таки механизм подписания exe файлов, чтобы их не блокировали? Что почитать посоветуете про подписание, чтобы разобраться, как для запуска скаченного exe не надо было повышать права пользователя?
7 сен 17, 04:37    [20777029]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 30362
azsx,
Разве вы ТС?
Я лично не видел, чтобы архив был с галкой.
Выдумали?
7 сен 17, 07:06    [20777068]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
azsx
Member

Откуда:
Сообщений: 523
автор
Я лично не видел, чтобы архив был с галкой.
Выдумали?

Вы правы, я ошибся, перепутал.
7 сен 17, 09:13    [20777291]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 43931
Pu4koff
Если качать непосредственно exe'шник, то винда пометит его как полученный по сети и заблокирует не для админа.

Да, именно так. Только делает это браузер, а не винда, что, впрочем, техническая мелочь.
7 сен 17, 13:53    [20778605]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
AnTe
Member

Откуда:
Сообщений: 80
ctroymag26, делаем инсталляторы посредством Inno Setup - у него есть в скриптах ключик, который убирает эту проблему.

сейчас стоит так:

PrivilegesRequired = lowest
; // Valid values: none, poweruser, or admin // Default value: admin

устанавливается в нашем корпоративном домене на машинах без админских прав

единственное - поправили, раньше устанавливали программу в program files, а теперь на c:\НашаСуперПрограмма

вот такое спешно-костыльное решение, после того, как наши сетевики спешно решили загнать три тыщи машин в домен

ждём, что они теперь в домене "ковырнут" и решение перестанет работать у нескольких сотен пользователей. Тогда и будем думать, что делать дальше.
7 сен 17, 14:02    [20778643]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 30362
AnTe
единственное - поправили, раньше устанавливали программу в program files, а теперь на c:\НашаСуперПрограмма

Ну вы даёте.
В корень системного диска.
7 сен 17, 14:06    [20778663]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
AnTe
Member

Откуда:
Сообщений: 80
Petro123, ну а чё, нормально! Пусть каждый пользователь осознаёт важность нашей супер-программы, установленной на его машине :)

На самом деле это "тонкий" клиент, совсем тонкий, т.е. ехе-шник и кучка всяких файлов вроде вордовских шаблонов, ехе-шник если и создаёт временные файлы - то в application data, периодически прожка обновляет сама себя, посредством того же инсталлятора, созданного заново в inno setup, который она скачивает по http-протоколу, в ту же application data и затем запускает

вообще, изучив бегло и совсем немного эту тему, я понял, что костыльные решения без всяких msi - вполне нормальный вариант даже для крупных корпораций. Тот же гугл хром пишет целую гору бинарников в Application data - т.е. в блоке для данных (если я ничего не перепутал) и т.д. и т.п. на политику майкрософта многие тупо забивают
7 сен 17, 14:16    [20778720]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Pu4koff
Member

Откуда:
Сообщений: 270
AnTe
вообще, изучив бегло и совсем немного эту тему, я понял, что костыльные решения без всяких msi - вполне нормальный вариант даже для крупных корпораций. Тот же гугл хром пишет целую гору бинарников в Application data - т.е. в блоке для данных (если я ничего не перепутал) и т.д. и т.п. на политику майкрософта многие тупо забивают

Я бы сказал, что не нормальный вариант, а распространённый. У хрома есть Chrome for work именно в виде msi.
Майкрософт сам тупит безбожно и плевать ему на свои же политики.
Расскажу свою историю: поймали в организации во второй раз за год шифровальщик. Из почты вместо акта сверки бухгалтер запустил скрипт, который зашифровал все файлы, до которых успел дотянулся (в том числе и на примонтированных сетевых дисках). Всё конечно восстановилось, но было потрачено время и больше такого не хотелось. Первым делом заблокированы были вызовы пользователями виндовых скриптов и захотелось казалось бы обычного: разрешить выполнять программы только из тех папок, в которые пользователи не смогут ничего сами поставить (для портативной мелочёвки была создана специальная шара, в которую мог писать только админ, а остальные только запускать). А то мало ли какую гадость еще запустят. Собственно, решено - сделано. Пробовалось всё на голой машине, чтобы не парализовать работу организации. Первым делом отвалился встроенный в десятку OneDrive. Вот прям принципиально ему распаковываться в папке пользователя с припиской версии, так что даже путь никак в политиках не пропишешь. Было бы что-то типа: Application Data\OneDrive\OneDrive.exe - было бы пол беды, но там в имени папки версия программы еще дописывалась или вроде того. Оставлять дыру и разрешать всему подряд запускаться из папки, куда может писать пользователь? Тогда нет никакого смысла во всех телодвижениях, ибо вирус туда легко и непринуждённо запишется и запустится. Добавлялись программы и добавлялись исключения для них, росли дыры. Многим программам принципиально ставиться скопировав себя рядом в папку scoped_dir<какой-то номер>, тоже непонятно куда и на что давать разрешения. Дальше пошли вопросы с обновлениями. Например, 7zip - засунул msi в LUP, прописал пару банальных проверок и он спокойно обновляется и ставится вместе с накатыванием виндовых обновлений. Для всяких флешей и адоб ридеров благо готовые конфиги есть (msi у них по-моему тоже есть, но за деньги), а то ищи по реестрам и файлам и ищи как узнать какая версия сейчас установлена на компе и как потом запустить инсталлятор в тихом режиме, чтобы ничего у пользователя не запрашивалось. Все эти вопросы конечно решаемы, но это лишние, никому ненужные заморочки.
Считаю, что если софт пишется для корпоративного рынка, то как минимум должен быть вариант с msi без всяких там постоянно висящих в трее обновляторов и без самообновлений, какие-то хотя бы доки и ключи, чтобы можно было изменить путь установки/распаковки временных файлов. Я блин хочу закрыть temp для запуска программ, но им там мёдом намазано и хочется именно туда что-то распаковать и запустить. В некоторых случаях было бы неплохо и шаблоны делать для накатывания групповых политик. Я не понимаю в чём проблема повернуться к админам лицом и сделать так, чтобы было удобно у функционально. Не сделали административных шаблонов для развёртывания, не написали доку - какой-то админ у себя пропишет неправильные скрипты (не так поймёт ключ в реестре, не к тому значению привяжется или просто в новой версии всё изменится) и тупить будет программа, а не админ, ругать будут программу, а где-то тупо откажутся от ПО, т.к. она не впишется в инфраструктуру и создаст дыры в безопасности. Или придётся выслушивать подобные тирады: http://forum.sbis.ru/viewtopic.php?f=17&t=43725
А вот для домашних пользователей и всякой мелочёвки лучше автообновляторы лепить, т.к. там запрещать некому, а обновлять будут забывать или просто испугаются что что-то нужно отдельно запускать. На всех не угодишь, серебряной пули опять нет :)
7 сен 17, 18:42    [20779700]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Разработка информационных систем Ответить