MSI Pakete mit erhöhten Rechten installieren
Bei diesem Knowledge Base Artikel handelt es sich um einen Archiveintrag, der 1:1 aus den FAQv1 Beiträgen übernommen wurde. Er dient dazu, auch Lösungen für ältere Versionen nach wie vor anzubieten und durchsuchbar zu machen.
Archiv
Ein Problem bei der Installation von Software können die lokalen Benutzerrechte sein.
Der Windows Installer (MSI-Pakete) kennt hierzu die Gruppenrichtlinie “Immer mit erhöhten Rechten installieren“, um dieses Berechtigungsproblem zu umgehen.
Die Aktivierung dieser Gruppenrichtlinie veranlasst Windows Installer, Systemberechtigungen bei der Installation von Programmen zu verwenden.
Diese Einstellung erweitert erhöhte Berechtigungen für alle Programmen. Die Berechtigungen gelten normalerweise nur für Programme, die dem Benutzer (wie z. B. Programme auf dem Desktop) oder dem Computer (diese werden automatisch installiert) zugewiesen wurden. Sie gilt aber auch für Programme, die unter “Software” in der Systemsteuerung verfügbar sind. Diese Einstellung ermöglicht es Benutzern, Programme in Verzeichnissen zu installieren, auf die sie normalerweise keinen Zugriff haben inklusive Verzeichnissen auf stark eingeschränkten Computern.
Wenn Sie die Einstellung deaktivieren oder nicht konfigurieren, werden die aktuellen Benutzerberechtigungen für Installationen von Programmen, die nicht vom Systemadministrator zugewiesen oder angeboten werden, angewendet.
Warnung:
Fortgeschrittene Benutzer können die von dieser Einstellung zugewiesenen Berechtigungen verwenden, um ihre Berechtigungen und Zugriffsrechte auf eingeschränkte Dateien und Ordner permanent zu ändern. Beachten Sie, dass die Einstellung für die Benutzerkonfiguration nicht sicher ist.
Zur Aktivierung der Gruppenrichtlinie “Immer mit erhöhten Rechten installieren” gehen Sie bitte wie folgt vor:
Lösungsansatz #1
Nehmen Sie bitte folgende Werte mit regedt32.exe neu auf:
<samp>Registrykey = HKEY_CURRENT_USERSoftwarePoliciesMicrosoftWindowsInstaller
Wertname = AlwaysInstallElevated
Datentyp = REG_DWORD
Zeichenfolge = 1</samp>
<samp>Registrykey = HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsInstaller
Wertname = AlwaysInstallElevated
Datentyp = REG_DWORD
Zeichenfolge = 1</samp>
Hinweis:
Diese Einstellung besteht sowohl für die Computerkonfiguration wie auch für die Benutzerkonfiguration.
Sie müssen die Einstellung in beiden Ordnern aktivieren, da ansonsten durchgeführte Installationen von MSI-Paketen defekt sind und nicht funktionieren.
Diese Einstellungen gelten dann nur für den Rechner, auf welchem diese Registryänderungen vorgenommen wurden.
Solange diese Gruppenrichtlinie gilt, kann jeder User lokal MSI-Projekte installieren, da der Windows Installer jetzt mit lokalen SYSTEM-Rechten läuft.
Vorsicht, kann natürlich ein Sicherheitsproblem darstellen!
Lösungsansatz #2
Diese Beispiel verwendet die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC).
Die GPMC können Sie kostenlos von der Microsoft Seite laden.
- öffnen Sie die Gruppenrichtlinienverwaltung.
- erweitern Sie in der Konsolenstruktur die Gesamtstruktur und die Domäne, in der die Gruppenrichtlinie erstellt werden soll
- klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte
( Gesamtstrukturname Domänen Domänenname Gruppenrichtlinienobjekte ) - klicken Sie auf Neu.
- geben Sie im Dialogfeld Neues Gruppenrichtlinienobjekt im Feld Name einen aussagekräftigen Namen für die neue Gruppenrichtlinie ein
z.B. MSI Installation mit erhöhten Rechten - bestätigen Sie mit OK
- erweitern Sie die Struktur auf Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Windows Installer
- klicken Sie doppelt auf die Einstellung Immer mit erhöhten Rechten installieren
- wählen Sie die Option Aktiviert und bestätigen Sie mit OK
- erweitern Sie die Struktur auf Benutzerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Windows Installer
- klicken Sie doppelt auf die Einstellung Immer mit erhöhten Rechten installieren
- wählen Sie die Option Aktiviert und bestätigen Sie mit OK
- Wenn Sie alle gewünschten Änderungen vorgenommen haben, klicken Sie auf Datei / Beenden
Weisen Sie diese Gruppenrichtlinie nun der gewünschten OU zu.
Hinweis:
Diese Einstellung besteht sowohl für die Computerkonfiguration wie auch für die Benutzerkonfiguration.
Sie müssen die Einstellung in beiden Ordnern aktivieren, da ansonsten durchgeführte Installationen von MSI-Paketen defekt sind und nicht funktionieren.
Diese Einstellungen gelten dann nur für die Rechner bzw. die Benutzer, welche Mitglied der entsprechenden OU sind.
Lösungsansatz #3
Diese Beispiel verwendet die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC).
Die GPMC können Sie kostenlos von der Microsoft Seite laden.
- öffnen Sie die Gruppenrichtlinienverwaltung.
- erweitern Sie in der Konsolenstruktur die Gesamtstruktur und die Domäne, in der die Gruppenrichtlinie erstellt werden soll
- klicken Sie mit der rechten Maustaste auf Gruppenrichtlinienobjekte
( Gesamtstrukturname Domänen Domänenname Gruppenrichtlinienobjekte ) - markieren Sie die vorhandene Gruppenrichtlinie zur Softwareverteilung, welche Sie mit erhöhten Rechten zur Verfügung stellen wollen
- wählen Sie im Kontextmenü der rechten Maustaste die Option Bearbeiten…
- erweitern Sie die Struktur auf Computerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Windows Installer
- klicken Sie doppelt auf die Einstellung Immer mit erhöhten Rechten installieren
- wählen Sie die Option Aktiviert und bestätigen Sie mit OK
- erweitern Sie die Struktur auf Benutzerkonfiguration / Administrative Vorlagen / Windows-Komponenten / Windows Installer
- klicken Sie doppelt auf die Einstellung Immer mit erhöhten Rechten installieren
- wählen Sie die Option Aktiviert und bestätigen Sie mit OK
- Wenn Sie alle gewünschten Änderungen vorgenommen haben, klicken Sie auf Datei / Beenden
Weisen Sie die Gruppenrichtlinie zur Installation des Softwarepakets nun der gewünschten OU zu.
Hinweis:
Diese Einstellung besteht sowohl für die Computerkonfiguration wie auch für die Benutzerkonfiguration.
Sie müssen die Einstellung in beiden Ordnern aktivieren, da ansonsten durchgeführte Installationen von MSI-Paketen defekt sind und nicht funktionieren.
Diese Einstellungen gelten dann nur für das Softwarepaket, welches mit Hilfe der Gruppenrichtlinie installiert wird.