Comment les grandes entreprises gèrent-elles les mises à jour logicielles pour les utilisateurs sans droits administratifs?

Je viens de commencer à travailler pour une petite et moyenne entreprise faisant du support informatique. Peut-être 150 utilisateurs ou moins.

À l'heure actuelle, chaque utilisateur dispose de droits d'administration sur sa propre machine. Cela leur permet d'installer des mises à jour ou tout ce qu'ils souhaitent.

Je suis fatigué de monter sur les machines des utilisateurs qui sont gonflées de conneries qu'ils se mettent dessus. Donc, ma première pensée serait de supprimer les droits administratifs sur leur ordinateur. Cela aurait également d'autres avantages tels que la prévention de nombreux logiciels malveillants de drive-by sur le Web, etc.

Le problème se pose que les utilisateurs ne peuvent pas installer les mises à jour. (Même si je trouve que la plupart les ignorent de toute façon)

Comment les grandes entreprises gèrent-elles les mises à jour logicielles sur toutes les machines clientes?

EDIT: environnement Windows. La plupart des serveurs sont Windows Server 2003 Enterprise. Les clients sont tous Windows. Win XP, Vista et 7.

Windows Server Update Services (WSUS) fournit le composant côté serveur pour gérer le déploiement des mises à jour. Il est fourni par Microsoft en tant que module complémentaire gratuit à Windows Server 2003 et versions ultérieures.

Les ordinateurs (PC clients, serveurs, etc.) sont généralement dirigés vers le serveur WSUS pour recevoir des mises à jour au moyen des paramètres de stratégie de groupe (qui peuvent également être effectués via une simple manipulation du registre). Le logiciel client Windows Update est configurable pour permettre au client de télécharger et d'installer automatiquement les mises à jour selon un calendrier, ou de télécharger et demander l'installation, etc. Le logiciel client peut forcer le PC à redémarrer, ou peut éventuellement différer le redémarrage si un utilisateur reste connecté. Il existe une variété d'options.

Pour les logiciels tiers, vous pouvez créer des mises à jour à distribuer via WSUS à l'aide de Sysmtem Center Updates Publisher dans le cadre du produit Microsoft System Center Configuration Manager. (Il y a quelques autres outils qui vous permettent de publier des mises à jour non-Microsoft à WSUS, too-- je n'ai aucune expérience avec eux et ne peut pas recommander / commentaire sur eux. Il y a un peu parler dans un commentaire à ce serveur de défaut réponse .)

J'installe généralement des logiciels sur les ordinateurs clients via la stratégie de groupe, donc le déploiement des mises à jour implique généralement le déploiement de nouveaux packages de cette façon. Vous pouvez en savoir plus sur cette stratégie dans cette réponse de panne de serveur .

BTW: Vous faites ce qu'il faut: se débarrasser des droits d'administrateur pour les utilisateurs. Vous verrez une amélioration spectaculaire de la fiabilité du PC, et indirectement, vous améliorerez la sécurité. Avoir un réseau avec des ordinateurs clients ayant des droits d'administrateur restreints est un endroit très agréable. À tout le moins, les logiciels malveillants seront limités à endommager le profil d'un utilisateur individuel, ce qui rend le nettoyage aussi simple que la restauration d'une copie d'un profil itinérant pré-infection à partir de la sauvegarde.

WSUS semble que ce serait parfait pour vous.

Mieux encore, si vous exécutez un serveur Windows dans votre environnement, c'est gratuit!