Warum mögen einige Administratoren es nicht, wenn Exes von einer Serverfreigabe ausgeführt werden?

7

Ich verteile ein Dienstprogramm für Entwickler, das sich auf einer Serverfreigabe befindet und vom Server auf dem lokalen PC oder der Terminaldienste / Citrix-Sitzung ausgeführt wird. Es sind keine Administratorrechte erforderlich. Es gibt keinen anderen Installationsprozess als das Ziehen und Ablegen auf einer Serverfreigabe. Es ist digital signiert.

Mir wurde gesagt, dass einige IT-Abteilungen es nicht mögen, Exes auf der Serverfreigabe auf diese Weise zu haben. Was kann ich tun, um den IT-Abteilungen zu erklären, dass mein Dienstprogramm harmlos ist?

Hinzugefügt

Ich bin der Entwickler des Tools Auto FE Updater und es wurde absichtlich so konzipiert, dass keine Administratorrechte erforderlich sind. Es ist eine eigenständige Exe ohne andere Installationsabhängigkeiten als einige INI-Dateien (Config), die vom Entwickler mit dem Tool erstellt wurden.

Dieses Tool wird von den Benutzern für kurze Zeit ausgeführt, während überprüft wird, ob Aktualisierungen der Access-Front-End-Datenbank und der zugehörigen Dateien auf dem Server vorhanden sind. Der Entwickler, der das Tool verwendet, führt es möglicherweise zwei oder fünf Minuten lang aus, während er die Einstellungen aktualisiert.

executable Tony Toews
quelle
Warum nicht einfach ein einfaches MSI-Installationsprogramm erstellen und damit fertig sein, anstatt zurückzuschieben? Die kostenlose Version von Advanced Installer funktioniert für Ihre Zwecke einwandfrei.
Skyhawk
Angesichts der Tatsache, dass ich Parameter an die MSI-Installation übergeben kann, scheint dies viele dieser Probleme zu lösen. Ich würde es jedoch vorziehen, die Exe in APPDATA zu installieren, aber nach jscotts Kommentaren zu urteilen, dass die Route ebenfalls blockiert ist. Ich produziere auch alle ein oder zwei Monate Updates für das Dienstprogramm. Für die Installation in Programmdateien sind Administratorrechte erforderlich. Dies bedeutet, dass die IT-Abteilung einbezogen werden muss. Was ich zu vermeiden versuche, aber in diesen gesperrten Situationen nicht erfolgreich bin. <smile>
Tony Toews
Richtig. In gesperrten Situationen soll die IT-Abteilung einbezogen werden. Sie können jedoch durchaus beide Optionen bereitstellen.
Skyhawk
Leute, das war eine sehr lehrreiche Diskussion für mich. Ich habe keine Ahnung, wie ich eine Antwort akzeptieren soll, da sie alle ziemlich gültig sind und nützliche Standpunkte hervorheben. Irgendwelche Vorschläge? Persönlich würde ich die Antwort mit dem Humor im ersten Satz suchen. <smile> Also, was ist fair?
Tony Toews
2
Ich bin froh, dass Sie etwas Nützliches aus der Diskussion herausholen! Sie können natürlich damit machen, was Sie wollen :) Was die Antwort betrifft, liegt ganz bei Ihnen. Um eine Antwort auf dieser Website zu akzeptieren, müssen Sie der Community mitteilen, welche Antwort Ihnen bei der Lösung Ihres Problems am besten geholfen hat. Gehen Sie nicht unbedingt mit dem, was alle anderen für das Beste halten. Das ist deine Frage! :)
Squillman

Antworten:

10

Hier sind einige Gründe, warum ich mag nicht Ich hasse es, wenn ausführbare Dateien über das Netzwerk gestartet werden:

  • Client-Sperren verhindern, dass das Tool aktualisiert wird, bis zu einem Zeitpunkt, an dem niemand die Datei ausführt. Dadurch entfällt das Konzept der On-Demand-Aktualisierung aus Anwendersicht
  • In einigen Fällen ist ein Neustart des Servers erforderlich, wenn baumelnde Sperren auftreten, weil ein Client aus dem Netzwerk fällt oder ein Prozess stirbt
  • Zusätzlicher Bandbreiten-Overhead für das Netzwerk
  • Zusätzliche Ladezeit für den Client, dies kommt oft als ein wahrgenommenes langsames Netzwerk zurück

BEARBEITEN:

Ihre hinzugefügten Informationen machen es noch schlimmer! Jetzt gibt es andere externe Abhängigkeiten, die das Ausfallrisiko erhöhen.

BEARBEITEN 2

Unabhängig davon, was in den Prozessen vor sich geht, ist es am besten, sie von einer lokalen Festplatte aus zu starten. In über 15 Jahren IT habe ich keinen Prozess gesehen, bei dem der Vorteil des Starts über eine Netzwerkfreigabe die von mir aufgeführten Risiken überwiegt. (Ich qualifiziere das, indem ich in einer Standardumgebung für Windows-Workstations / Dateiserver sage; ich habe nicht die * nix-Erfahrung, um diesen Anspruch dort geltend zu machen).

Was Ihre Aufrufe von Standard-Windows-APIs angeht, ist das alles gut und schön. Ja, sie sind an und für sich ziemlich stabil. Das Einfügen von Access in den Mix eröffnet mehr. Der Prozess wird jedoch immer noch im gesamten Netzwerk gestartet, und die Risiken, die ich und andere bereits erwähnt haben, gelten weiterhin. Ein kleiner Prozess ist immer noch ein Prozess und immer noch anfällig für Instabilität. Es lohnt sich einfach nicht, einen gesamten Server herunterzufahren, wenn ein Client-Prozess durcheinander gerät, wenn dies vermieden werden kann, indem die lokalen Binärdateien auf den Client verschoben werden.

Ja, kleinere Prozesse mit einer kürzeren Lebensdauer haben ein geringeres Ausfallrisiko und damit ein geringeres Risiko, die von uns beschriebenen schlechten Dinge zu verursachen. Ich bin jedoch ziemlich konservativ in meinen Verwaltungsüberzeugungen, so dass ich es nicht in meiner Umgebung sehen möchte. Und vielleicht ist es in Ihrer Umgebung in Ordnung, ich weiß es nicht.

Squillman
quelle
3
Ganz zu schweigen davon, dass eine Netzwerkunterbrechung häufig zum Absturz der Anwendung führt und Helpdesk-Anrufe generiert.
Joeqwerty
Dieses Tool wird von den Benutzern für kurze Zeit ausgeführt. Der Entwickler, der das Tool verwendet, führt es möglicherweise zwei oder fünf Minuten lang aus.
Tony Toews
@Tony Toews - Ihre ausführbare Datei läuft möglicherweise einige Minuten, aber wir werden ein bisschen komisch, weil die Gründe, die @squillman beschreibt, im Allgemeinen für ausführbare Dateien gelten, die länger laufen (z. B. einen ganzen Tag).
Ben Pilbrow
@joeqwerty: true dat @Tony: spielt keine Rolle, wie lange es läuft, insbesondere wenn Sie anfangen, die Anzahl der Personen zu erhöhen, die es zu einem bestimmten Zeitpunkt verwenden. Alles was es braucht ist ein Absturz, um einen Server herunterzufahren und das ist das Zeug, das die dunkle Seite von Sysadmins hervorhebt. Siehe auch meine Bearbeitung.
Squillman
squillman, aber alles, was ich mit den Konfigurationsdateien mache, ist die Verwendung der Standard-MS-API-Aufrufe, um sie zu lesen, da es sich um INI-Dateien handelt. Angesichts der Tatsache, dass es diese APIs seit Windows 3.1 Tagen gibt, sollten sie keine Probleme haben, wenn nicht früher.
Tony Toews
5

Es gibt zahlreiche Gründe, warum ein Administrator es vorziehen würde, keine ausführbaren Dateien im Netzwerk zu haben, wie andere aufgelistet haben.

What can I do to help explain to IT departments that my utility is benign

Nichts. Ihre Politik gesetzt, und Sie als Außenseiter haben keine Kontrolle über es sei denn , jemand wichtig genug , um innerhalb des Unternehmens Bedürfnisse (oder wirklich will) , um Ihre Software auf dem Netzwerk.

David Spillett
quelle
5

Trotz meiner Gefühle für meinen Ex- Husten möchte ich nicht, dass sie hingerichtet wird, und ich bin Administrator.

Trotzdem haben Sie uns nicht viel Hintergrundwissen gegeben, daher muss ich einige Annahmen treffen.

Ich kann Ihnen nicht genau sagen, warum einige Administratoren .exe's auf ihren Aktien nicht mögen. Es kann beispielsweise zu Installationsproblemen kommen, wenn Sie ausführbare Dateien von Serverfreigaben starten. Sie gehen auch ziemlich davon aus, dass für Ihre ausführbare Datei keine Administratorrechte erforderlich sind. Wie würdest du wissen?

Ich werde Ihnen sagen, dass es viel administrativer ist, Ihre Programme im MSI-Format zu verteilen, wenn Sie Programme verkaufen, zumindest in einer Windows-Umgebung. Ich kann mir nicht vorstellen, dass sie Bedenken haben würden, MSIs auf ihren Serverfreigaben zu haben.

Aktualisiert, um hinzuzufügen:

Tony, Sie werden im Laufe der Zeit feststellen, dass immer mehr Umgebungen das Bedürfnis haben, gesperrt zu werden, wenn Sie es noch nicht getan haben. Ob legal oder nicht, heutzutage ist es einfach sinnvoll, dies zu tun. Obwohl die Zeit, die investiert wird, um Ihr Programm für dieses Szenario so zugänglich wie möglich zu machen, sehr groß sein kann, glaube ich, dass es auf lange Sicht RIESIGE Vorteile bringt (während der Versuch, den Systemadministrator aus der Schleife herauszuhalten, nicht ausreicht).

Sysadmins haben nicht die Aufgabe, Menschen davon abzuhalten, ihre Arbeit zu tun. Ganz im Gegenteil. Wenn es jemanden gibt, den Sie als Freund auf der anderen Seite eines technischen Supportanrufs haben möchten, ist es der Systemadministrator, der versucht, Ihre Software zum Laufen zu bringen. Wenn Sie die Bereitstellung und Aktualisierung Ihrer Software für ihn / sie vereinfachen möchten, möchten Sie dort sein.

GregD
quelle
1
+1, weil dein erster Satz mich zum Lachen gebracht hat.
Joeqwerty
<kichern> Ich habe einige weitere Details hinzugefügt. Ich habe in den letzten Tagen aufgrund einer anderen Funktion auch mit dem MSI-Format gearbeitet und kann dies möglicherweise als Option tun. Das Problem ist, dass jemand einen Parameter an die MSI-Datei übergeben muss und ich nicht weiß, ob die MSI-Datei dies unterstützt.
Tony Toews
Mit @ Tony MSIs können Sie [fast] alles tun, was Sie wollen. Schauen Sie sich die Details der CustomAction- Tabelle an.
Jscott
jscott, ja, das habe ich mir erst vor kurzem angesehen. Sieht so aus, als würde das für meinen Zweck funktionieren.
Tony Toews
Wenn Sie darüber nachdenken, funktioniert das Übergeben eines Parms an die MSI-Datei aus verschiedenen Gründen nicht. Ich habe jedoch Pläne für die Zukunft, Multicast-Adressierung zu verwenden, damit Client-Exes mit der Entwickler-Exe kommunizieren können. Der Benutzer würde dann das Dienstprogramm ausführen und seine Existenz übertragen. Der Entwickler würde dann sehen, dass dieses neue System verfügbar ist, und der Client-Exe mitteilen, welche Konfiguration (en) verwendet werden sollen. Dann macht die Client-Exe ihre Sache und ist danach selbsttragend. Alternativ kann der Entwickler eine Verknüpfung per E-Mail senden, sofern das Dienstprogramm an derselben Stelle auf den Clients installiert ist.
Tony Toews
2

Einige Administratoren mögen es nicht, wenn ausführbare Dateien von Freigaben ausgeführt werden, nur weil Windows davor warnt. Ich denke, es ist ein Windows-Schutz, um zu vermeiden, dass andere Programme (wie Viren) Remote-Exes ohne Autorisierung ausführen, aber das ist ein anderer Fall.

Es gibt jedoch kein großes Problem, dies zu tun. Der Computer liest die Exe tatsächlich in den Speicher und führt sie aus.

Es gibt jedoch einige Programme, die Dateien aus dem exe-Verzeichnis lesen und die wahrscheinlich nicht wie erwartet funktionieren, wenn sie über ein Netzwerk ausgeführt werden, hauptsächlich Programme mit externen Abhängigkeiten wie freigegebene Dateien, Komponenten usw. Das Programm stürzt einfach ab.

hgf
quelle
Ich war ziemlich enttäuscht und irritiert, nachdem ich mir die Mühe gemacht hatte, ein digitales Zertifikat zu kaufen und es zum Laufen zu bringen, um zu sehen, dass Windows immer noch eine Nachricht gab. Das einzige, was das Dienstprogramm auf dem Server tut, ist, mehrere Konfigurationsdateien (INI) vom Server zu lesen und dann Dateien vom Server auf die Workstation zu kopieren.
Tony Toews
1

Persönlich erlaube ich keine "Remote" -Exe, da der Benutzer, wenn ich es zulasse, alles herunterladen kann, was kein Installationsprogramm erfordert, und es im Netzwerk ausführen kann. Aus Sicherheitsgründen nicht cool - Ich erlaube Apps nur die Ausführung von "C" und der Benutzer hat Lese- und Ausführungsrechte für "C".


quelle
Aber was ist der Unterschied zwischen einem Benutzer, der eine Exe auf eine Netzwerkfreigabe herunterlädt, und seinem Ordner "Eigene Dateien"?
Tony Toews
@ Tony Ein Unterschied: Wir verwenden Richtlinien für Softwareeinschränkungen, um zu verhindern, dass EXEs von einer beliebigen Stelle im Benutzerprofil ausgeführt werden. Dies hilft, eine Menge Auto-Download-Crapware zu stoppen.
Jscott
jscott, ich wusste nicht, dass diese Richtlinien überhaupt existieren. Dann würde mein Dienstprogramm für diese Server überhaupt nicht funktionieren. Dies bedeutet dann, dass die gesamte Software, die auf den Client-Systemen ausgeführt wird, vom Administrator in den Programmdateien installiert werden muss.
Tony Toews
@ Tony SRPs können entweder für Whitelisting oder Blacklisting konfiguriert werden . Es liegt ganz im Ermessen des Administrators. SRPs können die Verwendung von Regeln für: Binär-Hash, Zertifikat, Pfad oder Internetzone zulassen / verbieten.
Jscott
jscott, hast du ein paar nützliche URLs zu SRPs? Ich möchte diese als Links auf meiner Website einfügen. Wenn ich nur nach SRPs gesucht habe, finde ich wahrscheinlich auch viele nutzlose Links, weshalb ich frage.
Tony Toews