Installation ohne Admin-Rechte

Internet Explorer 9 - Erweiterungen im Unternehmenseinsatz

Installation ohne Admin-Rechte

Genau für diese Anforderung wurde in Windows Vista der sogenannte "ActiveX Installer Service" (AXIS) eingeführt. Dieser ermöglicht es, dass Administratoren eine Liste von Seiten vordefinieren, von denen ein User bei Bedarf ein ActiveX Control installieren darf.

Das Prinzip ist relativ einfach:

1. Das Windows Vista oder Windows 7 Gerät wird für die Nutzung des AXIS vorbereitet (etwa durch ocsetup.exe AxInstallService).

Dies installiert einen im Systemkontext laufenden Service, der die vom User angestoßene Installation einer Erweiterung vornehmen kann.

2. Die notwendigen Group Policies (GPO) werden definiert: Only use the ActiveX Installer Service for installation of ActiveX Controls,

Hier ist es notwendig, dass der zuständige Administrator festlegt, von welcher Seite eine Erweiterung automatisch installiert werden darf und, vor allem, welche Sicherheitsbedingungen für das Installations-Package gegeben sein müssen (Zertifikate, Signaturen usw.). Hier sollte natürlich auf vertrauenswürdige Signaturen geachtet werden.

Gruppenrichtlinie: Definieren Sie die entsprechende Group Policy.
Gruppenrichtlinie: Definieren Sie die entsprechende Group Policy.

3. Ein User besucht eine Seite, auf der eine Erweiterung notwendig ist.

4. Der User wird durch eine Goldbar (IE7/8) beziehungsweise eine Notification (IE9) benachrichtigt, dass diese Seite ein Add-on benötigt, und kann dort die Installation starten.

5. Der IE benachrichtigt den AXIS über den Installationswunsch.

6. Der AXIS überprüft anhand seiner GPOs, ob der User über die besuchte Seite ActiveX Controls installieren darf. Sofern dies erlaubt ist und die Signatur und das Zertifikat des Installers passen, wird automatisch die Installation durchgeführt und die Seite anschließend neu geladen, damit das Control geladen wird und damit auch benutzt werden kann.

Wenn es nicht erlaubt ist, folgt eine entsprechende Fehlermeldung.

Fazit

Auf die gezeigte Art und Weise ist es relativ einfach möglich, ein Windows-Betriebssystem zu verteilen und zu betreiben, ohne dass viele IE-Add-ons direkt in das Erstellen des Images einbezogen werden müssen.

Administratoren können die Seiten für Gruppen oder Nutzer spezifisch definieren, von denen installiert werden darf, und können auf diese Weise die installierten Internet Explorer schlank halten.

Und zusätzlich werden die notwendigen Support-Tickets zurückgehen, denn die User haben weniger Probleme und können die wirklich notwendigen Add-ons selbstständig installieren - und das sogar ohne Zutun des Supports. (mje)