Eseguire aggiornamenti da account limitato

[snuffles23]

Buongiorno a tutti,
scusatemi se apro un altro post (il vecchio è andato nel dimenticatoio)!
Ho la necessità di dare la possibilità ad un account limitato di poter fare alcuni aggiornamenti.
Tempo fà qualcuno di Voi mi aveva suggerito questo:
"Allora, per windows update dovrebbe bastare aggiungere una voce di registro

Start-->Esegui-->regedit

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Win dows\WindowsUpdate\

crea un valore dword con scritto ElevateNonAdmins e dalli valore 1."

Però questa riga di registro in xp pro sp3 non esiste, la devo creare?
Inoltre per sw tipo open office, java, flash, reader posso far qualcosa per dare la possibilità all'account limitato di aggiornarli?
Grazie
Cristian

[AMIGA]

Quota:

Inviato da snuffles23

Buongiorno a tutti,
scusatemi se apro un altro post (il vecchio è andato nel dimenticatoio)!
Ho la necessità di dare la possibilità ad un account limitato di poter fare alcuni aggiornamenti.
Tempo fà qualcuno di Voi mi aveva suggerito questo:
"Allora, per windows update dovrebbe bastare aggiungere una voce di registro

Start-->Esegui-->regedit

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Win dows\WindowsUpdate\

crea un valore dword con scritto ElevateNonAdmins e dalli valore 1."

Però questa riga di registro in xp pro sp3 non esiste, la devo creare?
Inoltre per sw tipo open office, java, flash, reader posso far qualcosa per dare la possibilità all'account limitato di aggiornarli?
Grazie
Cristian

Leggi qui

[snuffles23]

Grazie mille,
ma non mi è chiaro... non capisco se una volta modificato il registro gli aggiornamenti vengono fatti anche dall'account limitato...

[snuffles23]

Comunque ho provato anche ad aggiungere il valore ElevateNonAdmins ma comunque quando entro come account limitato e lancio windows update mi da l'errore:

Per eseguire l'installazione di aggiornamenti dal sito Web, è necessario essere connessi come amministratore o come membro del gruppo Administrators del computer in uso. Se si utilizza Windows XP, è possibile verificare se si dispone dei privilegi di amministratore in Account utente nel Pannello di controllo.

[LoryOne]

Il discorso è un po articolato:
Il mio PC è un computer singolo
Il mio PC è un nodo di rete
Il mio PC è un nodo di rete soggetto a restrizioni di dominio
In tutti i casi:
Cosa può fare e cosa non può fare il mio account se accedo al sistema nel cerchio dei limiti imposti dal super utente ?
Il S.O. ha bisogno di capire come comportarsi quando diventa Operativo, quindi deve istruirsi leggendo informazioni: File testuali o registro ? Nel caso di Windows, il file testuale è ampiamente sostituito da voci di registro e da hives ristrette all'account o a livello globale. M$ ha un'intuizione geniale: Piuttosto che avere molteplici files testuali ampiamente configurabili, organizza un solo file onnicomprensivo come un hard disk, con cartelle e sottocartelle alle quali si possono assegnare diritti di azione ai quali corrispondono reazioni in accordo. Il registro risulta semplice da comprendere per gli autori del S.O. un po meno per gli utilizzatori: Microsoft predispone interfacce grafiche che raggruppano azioni limitate per utente (USERS) ed altre globali (LOCAL MACHINE) che agiscono sul registro in base ai diritti vigenti nel cerchio dei limiti imposti dal super utente: (non è Administrator, bensì SYSTEM il super utente). Ad esse associa estensione msc.
Perdona se non ti dico subito cosa devi fare, ma finisce che diventiamo tutti sistemisti e poi la profesisonalità che fine fa ?

[snuffles23]

Grazie mille,
ti ringrazio per le info di grande professionalità! Ma vorrei sapere se quello che chiedo è possibile o meno... penso di sì!
Grazie
Cristian

[LoryOne]

Grazie per la grande profesisonalità, ma credimi io non sono un professionista ... Come te l'ho spiegata io non te le spiegherà mai nessuno, questo te lo concedo . I concetti esposti sono indipendenti dal S.O. in uso.
I privilegi possono essere acquisiti temporaneamente e restano tali per tutta la durata del task in esecuzione, salvo modifiche eseguite dal task stesso. Prova a pensare di "eseguire come se io fossi"...

[snuffles23]

Già che ci siamo, in xp pro l'account può essere administrator o limitato, se io lancio il comando control userpasswords2 vedo la possibilità di avere una via di mezzo, il power user. Se io il mio account limitato lo trasformo in power user posso installare gli aggiornamenti di xp e dei vari sw già installati? E che problemi posso andare incontro?

[LoryOne]

Se parli di Windows Update, gli update sono a livello globale ... quindi ...
Se tu parli si software applicativo, ricadiamo nel giro dei permessi associati all'account in uso, almeno per quanto riguarda l'utilizzo ... L'installazione spesso (e dietro le quinte) eleva i privilegi (e neanche tutti, M$ lo ha previsto, giustamente) solo temporaneamente per questioni legate alla sicurezza.

[LoryOne]

Ti chierderai allora perchè se M$ ha previsto che non si potesse agire per creare danni, il suo sistema s'infetta: Per due semplici motivi:
1 - E' l'utente a non conoscere il S.O. e non lo configura adeguatamente
2 - Il S.O. è frutto dell'ingegno umano e dove l'uomo sbaglia, i suoi simili correggono o sfruttano l'errore. L'errore è nell'istruzione che il S.O. ricerca per diventare Operativo. E' li che l'hacker agisce, cioè "integrandosi a livello macchina". Amenità come SQL injection, RFI, XSS compagnia cantando sono a livello uomo e, pensa te se si può considerare hacking. E' chiaro che devono essere comunque presi in considerazione perchè la materia è vasta e variegata.

ps: Non è solo M$ che "sbaglia". Tutti sbagliano, ma cio che è diabolico è perseverare.

[AMIGA]

Quota:

Inviato da snuffles23

Grazie mille,
ti ringrazio per le info di grande professionalità! Ma vorrei sapere se quello che chiedo è possibile o meno... penso di sì!
Grazie
Cristian

Intanto non capisco perchè ti ostini a fare questi aggiornamenti,se il pc è stato limitato o si trova in un dominio (ancora peggio) o si trova sotto un proxy,gli aggiornamenti sono gestiti dall'Admin.per esempio,anche un utente Admin,potrebbe avere delle restrizioni se il proxy filtra il sito che fornisce gli aggiornamenti,un utente di dominio non potrà mai installare nulla perchè solo l'amministratore di rete può farlo.Il Power User ha qualche priviliegio in più,ma solo sotto Win2000,su XP è finto,infatti non differscisce più di tanto da quello limitato.In teoria un utente limitato potrebbe aggiornare il proprio PC,solo quando i file installati non vanno a scrivere in luoghi non permessi,esempio se si vuole fare un aggiornamento ad un programma che si trova in c:\programmi\nome programma,bisogna dare a questa cartella tutti i permessi in modo che tale utente possa scrivergli dentro,naturalmente questa operazione va fatta da utente Admin,l'utente limitato non può gestire la "Protezione" di una cartella.

[LoryOne]

Esistono relazioni di dipendenza legate ai privilegi assegnati ad un utente, quindi se un utente con privilegi limitati è a conoscenza delle corrette credenziali di accesso (il concetto è generico, applicabile a tutti i S.O) .per superare le limitazioni imposte, egli è in grado di impersonificare temporanemante un utente con privilegi superiori ed agire su cartelle o voci di registro altrimenti precluse. Tale concezione ha però un limite per quanto concerne il registro: Diventare qualcun altro, significa agire sulle chiavi che ad esso sono legate, quindi se è necessario apportare modifiche al registro utili alla memorizzazione di impostazioni facenti capo ad un software qualsiasi, bisogna fare attenzione su quali voci agisce il software che si sta installando. Non è cosa da poco.

Un utente di dominio installa e come (ha privilegio superiore all'admin locale) se vuole (Esistono domain users e domain admins ...), tant'è che se appartieni ad un dominio, il tuo sistema operativo eredita gruppi, utenti e priviligi dal server di dominio. Server Message Block (SMB) ed RPC (Remote Procedure Call) sono la chiave di accesso, l'uno su sistemi M$, l'altro anche su molti altri sistemi.

ps: Le relazioni di dipendenza esistono anche fra servizi attivi sulla macchina

[snuffles23]

Premesso che non sono in un dominio e sono tutte macchine stand alone come posso risolvere?
Grazie

[LoryOne]

Ascolta snuffles23, le informazioni fornite sono preliminari all'attività che devi svolgere, nel senso che ti sono utili per capire il concetto alla base delle funzionalità di un server di gruppo che possa istruire i clients che ad esso si rivolgono per imparare il ruolo che essi devono ricoprire una volta effettuato l'accesso ad un dominio di rete. Su quel server (ed è un server perchè può gestire accessi multipli da clients multipli), deve essere predisposto un gruppo al quale far corrispondere l'insieme dei clients che ereditano le policies di gruppo. La stessa operazione è fattibile anche attraverso l'utilizzo di Active directory, un servizio particolarmente evoluto. Successivamente, una volta impararto quale sia il loro ruolo all'interno del gruppo di appartenenza al server in un dominio di rete, i clients eseguono operazioni da remoto in locale attraverso un protocollo basato sui messaggi. M$ ha predisposto un suo protocollo specifico per questa operazione chiamato Server Message Block (basato preliminarmente sulle comunicazioni inter-processo) che è adatto a molteplici utilizzi, non per ultimo fornire supporto alle operazioni di gestione di un file che risiede in un cartella condivisa in rete (Per essere un po più esplicativi, è l'accoppiata dei servizi Workstation (NetBIOS) + File Server (SMB)). Cerca su internet come fare praticamente, soprattutto sul sito di Microsoft che è chiaro e passo-passo.

Se non istituisci un dominio, puoi eseguire comunque le operazioni che vuoi tu, ma se non esiste un server predisposto a ricevere le richieste di accesso dei vari clients ed istruirli di conseguenza sui ruoli assegnati e sulle operazioni da eseguire sei tu ad avere l'onere di creare un servizio su un PC che funga da server per tutti gli altri.

ps: Prova a pensare ad uno script in vbs che richiama un eseguibile su ogni client che viene eseguito runas, che legge su una cartella condivisa un file di testo che contiene le informazioni in sequenza per eseguire operazioni in locale prelevando i files d'installazione sul server remoto. In quella cartella tu puoi inserire gli aggiornamenti del tuo file exe (che sarà copiato con istruzioni presenti nel file vbs), la nuova struttura del file di testo ed i files di aggiornamento dei prodotti da te citati.

Se ti sembrano operazioni astruse, pensa che gli sviluppatori pensano in questi termini, magari aggiornando un protocollo o scrivendone uno nuovo. Più operazioni vengono svolte automaticamente, più funzionalità si aggiungono e meno è necessario intervenire da parte degli utenti, facendo la fortuna di quel S.O.

Più il sistema è modulare, più è possibile testare approfonditamente ogni modulo che costituisce un'entità a se, ma che attraverso il kernel può comunicare con altri moduli, ampliando in tal modo le funzionalità del S.O.