Как развернуть ПО сразу в папку пользователя с правами админа в домене?

Question

[gavlovsckij]

На прошлой работе был домен, весь софт с правами админа ставился корректно, сразу в папку пользователя, даже тот, что ломится в AppData. А на нынешнем месте при вводе админских прав распаковка ПО идёт в папку админа, а не пользователя, и приходится использовать костыль, временно выдавая локального админа на компе пользователя.
Что можно сделать со стороны AD и групповых политик, чтобы права админа работали на установку именно пользователю?

Comments

[Роман Безруков]

Что за софт? Как вы пытаетесь устанавливать - GPO/GPP, логон-скрипт, просто копирование в папку пользователя?

[gavlovsckij]

Роман Безруков, например, плагины Контура для работы ЭЦП или сервиса "Отель". Он ставится стандартно, не через GPO или скрипты. Так как они не поддерживают установку сразу для всех пользователей, то приходится использовать костыль для выдачи локального админа, чтобы установка шла именно данному пользователю, а не в папку админской учётки

[Роман Безруков]

gavlovsckij, https://winitpro.ru/index.php/2020/03/05/copy-file... - подходит под вашу задачу?

[gavlovsckij]

Роман Безруков, да, вполне, интересный способ, попробуем реализовать. Спасибо вам большое за ссылку! :)

[azqwerty]

при вводе админских прав распаковка ПО идёт в папку админа

Потому что папка админа, из-под которого запущено, и есть для него папкой юзера, что логично. Как может быть иначе без каких-то манипуляций в процессе, возможно, скрытых, - слабо представляю

Я в таких случаях узнавал по какому пути оно устанавливается и делал символическую ссылку для него на то место, куда нужно мне. Наверное, если установка производится часто, то способ не очень подойдёт.

Answer 1

[Довольный Айтишникъ]

Если софт ставится в папку пользователя - его установку не нужно запускать с админскими правами, хватит и обычных прав пользователя. Хром например так ставится.

Comments

[gavlovsckij]

Дело в том, что у нас реализовано ограничение и на установку в AppData, права админа запрашиваются буквально на всё, даже на установку хрома. Получается, что это можно решить только снятием ограничения на установку в AppData, оставив только под запретом на установку в Program Files?

[Довольный Айтишникъ]

gavlovsckij, Для корректной работы пользовательского ПО запись в AppData в своем профиле пользователю должна быть разрешена, так как там хранятся многие настройки, да и папка Temp тоже там лежит.
Любопытно, зачем такой запрет?

Мы, для минимизации запуска всякой дряни, разрешили запуск ПО только из папки Program Files, Program Files Х86 и Windows. В них пользователь ничего установить не может (если не админ). Из AppData разрешили запуск только известных нам приложений, указав полный путь к ним и хеш./сертификат В итоге у юзеров ни игр, ни торрентов, только рабочее ПО.

[gavlovsckij]

Довольный Айтишникъ, я предполагаю, что на уровне GPO реализован запрет на размещение в AppData исполняемых файлов (.exe), поэтому тот же кэш браузеров спокойно там сохраняется.
Тоже вашим способом разрешил запуск, прописав дополнительным параметром в GPO путь в папке с нужной программой. Правда, этот момент к сути основного моего вопроса не относился ))

[gavlovsckij]

Довольный Айтишникъ, запрет не мной ставился, а главным сисадмином когда-то очень давно. Вероятно, что в AppData не лезла всякая дрянь типа рекламного ПО и вирусни, и практика работы показала, что не зря сделали, пользователи крайне неаккуратные в конторе

[Довольный Айтишникъ]

gavlovsckij, Вот тут немного не верно сделано. Полностью туда запрещать запись не стоит, так как туда ПО часто пользовательские конфиги пишет, а вот запретить оттуда запуск чего либо, кроме разрешенного ПО (например хром) - вот это правильный вариант.