大企業は、管理者権限のないユーザーのソフトウェア更新をどのように処理しますか？

ちょうど中小企業でITサポートを始めたところです。たぶん150人以下のユーザー。

現在、すべてのユーザーが自分のマシンに対する管理者権限を持っています。これにより、アップデートやその他の必要なものをインストールできます。

私は、自分が身に付けたがらくたで膨れ上がっているユーザーのマシンに乗るのに疲れました。だから私の最初の考えは、彼らのコンピュータの管理者権限を奪うことだろう。これには、ウェブ上で大量のドライブバイマルウェアを防止するなど、他の利点もあります。

ユーザーがアップデートをインストールできないという問題が発生します。（とにかくこれらをほとんど無視していると思いますが）

大企業はすべてのクライアントマシンでソフトウェアアップデートをどのように処理しますか？

編集：Windows環境。ほとんどのサーバーはWindows Server 2003 Enterpriseです。クライアントはすべてWindowsです。Windows XP、Vista、および7を獲得します。

Windows Server Update Services（WSUS）は、更新の展開を処理するサーバー側コンポーネントを提供します。これは、Windows Server 2003以降への無料のアドオンとしてMicrosoftから提供されています。

コンピューター（クライアントPC、サーバーなど）は、通常、WSUSサーバーに転送され、グループポリシー設定を介して更新を受信します（これは、単純なレジストリ操作でも実行できます）。Windows Updateクライアントソフトウェアは、クライアントが更新をスケジュールに従って自動的にダウンロードしてインストールしたり、ダウンロードしてインストールを要求したりできるように構成できます。クライアントソフトウェアは、PCを強制的に再起動するか、ユーザーが残っている場合はオプションで再起動を延期できます。ログオン。さまざまなオプションがあります。

サードパーティソフトウェアの場合、Microsoft System Center Configuration Manager製品の一部としてSysmtem Center Updates Publisherを使用して、WSUS経由で配布する更新を作成できます。（Microsoft以外の更新をWSUSに公開できるようにする他のツールもあります-私はそれらの経験がなく、それらを推奨/コメントすることはできません。このサーバー障害へのコメントでそれらについてのいくつかの話があります答える。）

私は通常、グループポリシーを使用してソフトウェアをクライアントコンピューターにインストールするため、更新プログラムの展開には通常、新しいパッケージをそのように展開することが含まれます。この戦略の詳細については、このサーバー障害の回答を参照してください。

ところで、あなたは正しいことをしています：ユーザーの管理者権限を取り除くことです。PCの信頼性が劇的に向上し、間接的にセキュリティが向上します。管理者権限が制限されたクライアントコンピューターを含むネットワークを持つことは、非常に良いことです。少なくとも、マルウェアは個々のユーザーのプロファイルの損傷に限定されるため、感染前のローミングプロファイルのコピーをバックアップから復元するのと同じくらい簡単にクリーンアップできます。

WSUSはあなたにぴったりだと思います。

何よりも、環境でWindowsサーバーを実行している場合は無料です！