Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Разработка информационных систем Новый топик    Ответить
Топик располагается на нескольких страницах: 1 2      [все]
 Инсталлятор с запуском без прав админа  [new]
ctroymag26
Member

Откуда:
Сообщений: 19
Здравствуйте!

Выпускаем приложение с апдейтером.
Много пользователей самостоятельно устанавливают приложение, но в организациях с системой безопасности установка блокируется и требуется ввод админской учетки.
1)Можно ли создать простой инсталлятор на который не реагирует не будет запроса админской учетки?
2)Или инструкцию по настройке рабочей станции и домена с разшенениями на конкретную программу?
5 сен 17, 12:18    [20772258]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 43654
Инсталлятор, не требующих админских (на самом деле достаточно Power User) привилегий это простой архив, который распаковывается в любую папку и дальше программа работает из неё. Если ваша программа так не умеет - обломитесь.
5 сен 17, 14:28    [20772902]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 29746
ctroymag26,
Причём тут инсталлятор?
Если там нет драйвера и юзверь ставит в users.Pupkin то в чём проблема?
Наверно в том что вы сами не проверяли.
5 сен 17, 14:35    [20772952]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
ctroymag26
Member

Откуда:
Сообщений: 19
наше приложение часто обновляется и много пользователей с разных городов.

пытались по всякому:
инсталлятором, обычным архивом, архивом с паролем и даже закачка с сайта по протоколу https с платным сертификатом.

- если устанавливать на компьютер с флэшкой и копировать или запускать с нее, то права админа не нужны.
- если скачивать с сайта то даже просто из распакованного обычного скачанного архива требуются права админа для запуска exe-ка.
Windows 10 не блокирует запуск приложения, а проблема в windows 8.1

здесь наверное потребуется инструкция для сис. админов, в которой будет прописано как выдать разрешения на конкретную программу или инсталлятор.
в администрировании нет опыта, поэтому прошу знающих помочь с такой инструкцией.
5 сен 17, 16:16    [20773407]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
LSV
Member

Откуда: Киев
Сообщений: 29973
Инсталляторы без полномочий не сработают в папку ПрограммФайлс. Эт да....
Но в другую папку - вполне.

Ну и прав на запись в реестр может не быть.
5 сен 17, 16:28    [20773442]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
hVostt
Member

Откуда:
Сообщений: 11399
ctroymag26,

ClickOnce обходит этот момент. Не углублялся, можно погуглить на тему как это работает. Устанавливает в папку пользователя.
5 сен 17, 16:44    [20773497]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Pu4koff
Member

Откуда:
Сообщений: 266
Лично я терпеть не могу приложения с апдейтерами. msi для админства - самое норм, как по мне. Засунул в WSUS и пущай обновляется штатными виндовыми средствами. Админы могут много чего наворотить. Могут и SRP и/или AppLocker настроить и разрешить запускать только конкретные программы из конкретных мест или только подписанные exe'шники.
По поводу загруженной по сети проги: начиная с какой-то версии винды файлам добавили дополнительный атрибут. В свойствах файла на первой же вкладке внизу должен быть checkbox с припиской типа: файл получен с другого компа и заблокирован с целью защиты. Я не сталкивался с такой проблемой, не смотрел как фиксить, может если подписывать экзешник ЭЦП, то эта фича уйдёт. Думал, что упаковка в архив эту штуку даёт обходить, но раз так пробовали, то не подскажу.
Состыкуйтесь с каким-нибудь нормальным админом клиента, а лучше несколькими разными админами и спросите как им удобнее и что нужно. Уж очень много вариантов раздачи прав и разрешений. Может у кого так всё зарезано, что в принципе никак не обойти и обновляться только через админа. Заодно люди оценят такую клиентоориентированность :)
5 сен 17, 16:45    [20773501]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Pu4koff
Member

Откуда:
Сообщений: 266
hVostt
ctroymag26,

ClickOnce обходит этот момент. Не углублялся, можно погуглить на тему как это работает. Устанавливает в папку пользователя.

Если в домене настроен SRP или Applocker определённым образом, то всякие ClickOnce так же пойдут лесом.
5 сен 17, 16:49    [20773511]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 29746
ctroymag26
если устанавливать на компьютер с флэшкой и копировать или запускать с нее, то права админа не нужны.
- если скачивать с сайта то даже просто из распакованного обычного скачанного архива требуются права админа для запуска exe-ка.

Не понял проблему.
Если скачивать с ФТП организации или ваших разрабов, то это ничем не отличается "с флешки"
Так?
5 сен 17, 17:34    [20773628]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Pu4koff
Member

Откуда:
Сообщений: 266
Petro123
ctroymag26
если устанавливать на компьютер с флэшкой и копировать или запускать с нее, то права админа не нужны.
- если скачивать с сайта то даже просто из распакованного обычного скачанного архива требуются права админа для запуска exe-ка.

Не понял проблему.
Если скачивать с ФТП организации или ваших разрабов, то это ничем не отличается "с флешки"
Так?

Если флешка не NTFS, то будет отличаться :)
5 сен 17, 17:42    [20773646]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 29746
Pu4koff,
Ждём автора с тестами)
6 сен 17, 07:25    [20774277]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
hVostt
Member

Откуда:
Сообщений: 11399
Pu4koff
hVostt
ctroymag26,

ClickOnce обходит этот момент. Не углублялся, можно погуглить на тему как это работает. Устанавливает в папку пользователя.

Если в домене настроен SRP или Applocker определённым образом, то всякие ClickOnce так же пойдут лесом.


Ну что поделать. Если на клавиатуру и мышь повесить амбарный замок, то будет вообще хорошо
6 сен 17, 08:51    [20774374]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 43654
ctroymag26
- если скачивать с сайта то даже просто из распакованного обычного скачанного архива требуются права админа для запуска exe-ка.

Скорее всего вы даёте скачивать не архив, а не посредственно exe-шник. Большая ошибка.
6 сен 17, 14:03    [20775622]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
LSV
Member

Откуда: Киев
Сообщений: 29973
Dimitry Sibiryakov
ctroymag26
- если скачивать с сайта то даже просто из распакованного обычного скачанного архива требуются права админа для запуска exe-ка.

Скорее всего вы даёте скачивать не архив, а не посредственно exe-шник. Большая ошибка.
А какая разница ? Все равно надо запускать ехе.
6 сен 17, 14:45    [20775783]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Pu4koff
Member

Откуда:
Сообщений: 266
LSV
Dimitry Sibiryakov
пропущено...

Скорее всего вы даёте скачивать не архив, а не посредственно exe-шник. Большая ошибка.
А какая разница ? Все равно надо запускать ехе.

Если качать непосредственно exe'шник, то винда пометит его как полученный по сети и заблокирует не для админа. Если засунуть в архив, то архив пометится как опасный, но архиватор скорее всего сможет его открыть. Когда уже exe'шник будет распакован из этого архива, то у него пометки не будет, что он откуда-то извне получен, вроде он тут и был. Если никаких дополнительных блокировок не настроено у людей, то такой финт ушами может прокатить.
6 сен 17, 15:03    [20775846]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
hVostt
Member

Откуда:
Сообщений: 11399
Pu4koff,

FAT32 на флешке тож наверное прокатит
6 сен 17, 15:12    [20775890]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 29746
Pu4koff
Если качать непосредственно exe'шник, то винда пометит его как полученный по сети и заблокирует

+1
6 сен 17, 15:15    [20775903]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
azsx
Member

Откуда:
Сообщений: 490
Но ведь архив также винда пометит как полученный с сети и предупредит об этом.
Какой всё таки механизм подписания exe файлов, чтобы их не блокировали? Что почитать посоветуете про подписание, чтобы разобраться, как для запуска скаченного exe не надо было повышать права пользователя?
7 сен 17, 04:37    [20777029]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 29746
azsx,
Разве вы ТС?
Я лично не видел, чтобы архив был с галкой.
Выдумали?
7 сен 17, 07:06    [20777068]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
azsx
Member

Откуда:
Сообщений: 490
автор
Я лично не видел, чтобы архив был с галкой.
Выдумали?

Вы правы, я ошибся, перепутал.
7 сен 17, 09:13    [20777291]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Dimitry Sibiryakov
Member

Откуда:
Сообщений: 43654
Pu4koff
Если качать непосредственно exe'шник, то винда пометит его как полученный по сети и заблокирует не для админа.

Да, именно так. Только делает это браузер, а не винда, что, впрочем, техническая мелочь.
7 сен 17, 13:53    [20778605]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
AnTe
Member

Откуда:
Сообщений: 80
ctroymag26, делаем инсталляторы посредством Inno Setup - у него есть в скриптах ключик, который убирает эту проблему.

сейчас стоит так:

PrivilegesRequired = lowest
; // Valid values: none, poweruser, or admin // Default value: admin

устанавливается в нашем корпоративном домене на машинах без админских прав

единственное - поправили, раньше устанавливали программу в program files, а теперь на c:\НашаСуперПрограмма

вот такое спешно-костыльное решение, после того, как наши сетевики спешно решили загнать три тыщи машин в домен

ждём, что они теперь в домене "ковырнут" и решение перестанет работать у нескольких сотен пользователей. Тогда и будем думать, что делать дальше.
7 сен 17, 14:02    [20778643]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 29746
AnTe
единственное - поправили, раньше устанавливали программу в program files, а теперь на c:\НашаСуперПрограмма

Ну вы даёте.
В корень системного диска.
7 сен 17, 14:06    [20778663]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
AnTe
Member

Откуда:
Сообщений: 80
Petro123, ну а чё, нормально! Пусть каждый пользователь осознаёт важность нашей супер-программы, установленной на его машине :)

На самом деле это "тонкий" клиент, совсем тонкий, т.е. ехе-шник и кучка всяких файлов вроде вордовских шаблонов, ехе-шник если и создаёт временные файлы - то в application data, периодически прожка обновляет сама себя, посредством того же инсталлятора, созданного заново в inno setup, который она скачивает по http-протоколу, в ту же application data и затем запускает

вообще, изучив бегло и совсем немного эту тему, я понял, что костыльные решения без всяких msi - вполне нормальный вариант даже для крупных корпораций. Тот же гугл хром пишет целую гору бинарников в Application data - т.е. в блоке для данных (если я ничего не перепутал) и т.д. и т.п. на политику майкрософта многие тупо забивают
7 сен 17, 14:16    [20778720]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Pu4koff
Member

Откуда:
Сообщений: 266
AnTe
вообще, изучив бегло и совсем немного эту тему, я понял, что костыльные решения без всяких msi - вполне нормальный вариант даже для крупных корпораций. Тот же гугл хром пишет целую гору бинарников в Application data - т.е. в блоке для данных (если я ничего не перепутал) и т.д. и т.п. на политику майкрософта многие тупо забивают

Я бы сказал, что не нормальный вариант, а распространённый. У хрома есть Chrome for work именно в виде msi.
Майкрософт сам тупит безбожно и плевать ему на свои же политики.
Расскажу свою историю: поймали в организации во второй раз за год шифровальщик. Из почты вместо акта сверки бухгалтер запустил скрипт, который зашифровал все файлы, до которых успел дотянулся (в том числе и на примонтированных сетевых дисках). Всё конечно восстановилось, но было потрачено время и больше такого не хотелось. Первым делом заблокированы были вызовы пользователями виндовых скриптов и захотелось казалось бы обычного: разрешить выполнять программы только из тех папок, в которые пользователи не смогут ничего сами поставить (для портативной мелочёвки была создана специальная шара, в которую мог писать только админ, а остальные только запускать). А то мало ли какую гадость еще запустят. Собственно, решено - сделано. Пробовалось всё на голой машине, чтобы не парализовать работу организации. Первым делом отвалился встроенный в десятку OneDrive. Вот прям принципиально ему распаковываться в папке пользователя с припиской версии, так что даже путь никак в политиках не пропишешь. Было бы что-то типа: Application Data\OneDrive\OneDrive.exe - было бы пол беды, но там в имени папки версия программы еще дописывалась или вроде того. Оставлять дыру и разрешать всему подряд запускаться из папки, куда может писать пользователь? Тогда нет никакого смысла во всех телодвижениях, ибо вирус туда легко и непринуждённо запишется и запустится. Добавлялись программы и добавлялись исключения для них, росли дыры. Многим программам принципиально ставиться скопировав себя рядом в папку scoped_dir<какой-то номер>, тоже непонятно куда и на что давать разрешения. Дальше пошли вопросы с обновлениями. Например, 7zip - засунул msi в LUP, прописал пару банальных проверок и он спокойно обновляется и ставится вместе с накатыванием виндовых обновлений. Для всяких флешей и адоб ридеров благо готовые конфиги есть (msi у них по-моему тоже есть, но за деньги), а то ищи по реестрам и файлам и ищи как узнать какая версия сейчас установлена на компе и как потом запустить инсталлятор в тихом режиме, чтобы ничего у пользователя не запрашивалось. Все эти вопросы конечно решаемы, но это лишние, никому ненужные заморочки.
Считаю, что если софт пишется для корпоративного рынка, то как минимум должен быть вариант с msi без всяких там постоянно висящих в трее обновляторов и без самообновлений, какие-то хотя бы доки и ключи, чтобы можно было изменить путь установки/распаковки временных файлов. Я блин хочу закрыть temp для запуска программ, но им там мёдом намазано и хочется именно туда что-то распаковать и запустить. В некоторых случаях было бы неплохо и шаблоны делать для накатывания групповых политик. Я не понимаю в чём проблема повернуться к админам лицом и сделать так, чтобы было удобно у функционально. Не сделали административных шаблонов для развёртывания, не написали доку - какой-то админ у себя пропишет неправильные скрипты (не так поймёт ключ в реестре, не к тому значению привяжется или просто в новой версии всё изменится) и тупить будет программа, а не админ, ругать будут программу, а где-то тупо откажутся от ПО, т.к. она не впишется в инфраструктуру и создаст дыры в безопасности. Или придётся выслушивать подобные тирады: http://forum.sbis.ru/viewtopic.php?f=17&t=43725
А вот для домашних пользователей и всякой мелочёвки лучше автообновляторы лепить, т.к. там запрещать некому, а обновлять будут забывать или просто испугаются что что-то нужно отдельно запускать. На всех не угодишь, серебряной пули опять нет :)
7 сен 17, 18:42    [20779700]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 29746
Pu4koff,
Вы знаете, список вменяемых программ это хлеб админа.
Зачем вам oneDrive? Чтобы данные хранить во вражеском облаке? )))
А программы должны писать Только в c/users/petro/AppData/....
Там они если испортят, то данные лично Petro.
Так?
И темп папка тоже там.
7 сен 17, 19:12    [20779753]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Pu4koff
Member

Откуда:
Сообщений: 266
Petro123
Pu4koff,
Вы знаете, список вменяемых программ это хлеб админа.
Зачем вам oneDrive? Чтобы данные хранить во вражеском облаке? )))
А программы должны писать Только в c/users/petro/AppData/....
Там они если испортят, то данные лично Petro.
Так?
И темп папка тоже там.

Ну, данные пусть в профиле пользователя хранит, а вот exe, dll и прочее общее чего бы в program files не покласть, чтобы саму программу никто не поломал случайно :)
7 сен 17, 19:22    [20779769]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 29746
Pu4koff,
В AD вроде есть скрипты создания рабочего места. Вот тут 2 варианта.
Либо админ ножками приходит и сам ставит в c:/Programs....
Либо само AD ставит.
7 сен 17, 19:30    [20779778]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 29746
Права локального админа - только Программистам!!!
)))
7 сен 17, 19:33    [20779782]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Pu4koff
Member

Откуда:
Сообщений: 266
Petro123,
ну, было бы желание - можно что угодно сделать. Как по мне: всё это дичь. 20 лет назад ПО страдало тем, что не умело длинные пути, кириллицу в путях, с пробелами даже была беда и лазерный диск искало только в первом сидюке и если в системнике было 2 привода, то вставлять диск нужно было именно в первый,... Сейчас эти проблемы ушли, но пришли на смену другие, не менее глупые. exe-шник программам почему-то нужно распаковать строго в temp и оттуда запускать, настроить это никак нельзя или пойди найди инфу как это сделать. Вроде все возможности есть, чтобы делать удобно разным пользователям, но всё чаще делают так, как удобно разработчикам. До сих пор какая-то наколеночная разработка. Разрабатывают с учётом, что запустят под админом на одном компе, а как админу распихивать по сотне компов и обновлять это дело - пусть сам разбирается. Если что сломается, то типа админ виноват, он дурак. Что говорить, если 1С 8.2 для обновления справочника банков хочет права админа. А права она хочет потому, что 1Сники не осилили работу с dbf от центробанка и берут самораспаковывающийся архив с упрощенными CSV с сайта РБК. Ведь могли бы запилить свой ftp, куда скидывать те же файлы без архива и обновлять справочник без админских прав. Да и у РБК давно выкладывают простой архив, распаковка которого не захочет повышенных прав, можно было давно переписать 5 строчек кода в конфигурации. Сделали по принципу: и так сойдёт. Они могут себе это позволить, тут админа никто спрашивать не будет, а поставят перед фактом. Для другой программы могут найти аналог, с которым не будет таких приключений.
7 сен 17, 20:29    [20779856]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
AnTe
Member

Откуда:
Сообщений: 80
Pu4koff
Считаю, что если софт пишется для корпоративного рынка, то как минимум должен быть вариант с msi без всяких там постоянно висящих в трее обновляторов и без самообновлений, какие-то хотя бы доки и ключи, чтобы можно было изменить путь установки/распаковки временных файлов.
Вы правы, но это для тех, кто разрабатывает для корпоративного рынка, а не для тех, кто разрабатывает софт для своей корпорации. Во втором случае можно опираться от принятой политики на предприятии. А политика эта в том, что вот таких вот программ, которые устанавливаются на диск С - воз и маленькая тележка. И админы в ближайшие несколько лет, а то и десятилетие не планируют запрещать запуск ехе так жёстко, вот как у вас.

Вот если будем выпускать нашу систему делопроизводства на массовый рынок (что не такая уж и утопичная идея) - тогда, конечно же, обязательно будет и msi. И людей в штате побольше, которые этим вопросом займутся. А пока программа качает обновлятор с nginx на серваке, запускает его, тот заменяет ехе, всё скрыто для пользователя, работает и проблем не предвидится.
8 сен 17, 06:17    [20780393]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
hVostt
Member

Откуда:
Сообщений: 11399
AnTe,

Затраты на создание msi инсталлера меньше, чем на мудотню с костылями.
8 сен 17, 10:48    [20781101]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
AnTe
Member

Откуда:
Сообщений: 80
hVostt, Вы знаете, я,честно, не в курсе.

Может, программиста нужно увольнять?

Дал ему подразобраться, что делать, он сказал, что msi - нетривиальная вещь, нужно в скриптах разбираться. Тогда было принято решение закостылить. Тем более, костыль этот давно работал, только не по http обновление шло

Требования: чтобы при выходе нового релиза можно было каким-то образом обновить все клиентские части. Причём, некоторые машины пользователей не выключаются (они их отправляют в сон). И клиентские части при этом, как правило, запущены (программа всегда висит в трее).

Неужто это делается очень просто?
8 сен 17, 13:05    [20781590]     Ответить | Цитировать Сообщить модератору
 Re: Инсталлятор с запуском без прав админа  [new]
Petro123
Member

Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщений: 29746
AnTe
работает и проблем не предвидится.

Проблем нет, а вы увольнять решили.
8 сен 17, 14:24    [20781926]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: 1 2      [все]
Все форумы / Разработка информационных систем Ответить