Ну, например, можно воспользоваться:
http://localupdatepubl.sourceforge.net/
http://wiki.opennet.ru/%D0%98%D0%BD%...B5_LibreOffice
http://bozza.ru/art-145.html (правда, установка и апдейт - немного отличаются)
https://habrahabr.ru/post/141719/
http://gpo-planet.com/?p=2195
https://habrahabr.ru/post/150518/

Как я уже говорил выше, программисты еще раз посмотрят: что можно будет сделать для облегчения задачи обновления.

Кстати, может кто-то помнит, когда Яндекс.Диск во время такого обновления в обход защиты системы - покончал у огромного количества пользователей файлы Windows в системной папке Windows из-за косяка в обновляторе ?
"Благодаря" этому случаю Яндекс выдал пострадавшим (и мне в том числе ) 200 гигабайт места на Яндекс.Диск-е навсегда.
Это я к вопросу неконтролируемых действий обновляторов даже от таких гигантов, как Яндекс и почему админы не любят такие неконтролируемые обновляторы.

Не поверите, но это зависит именно от самой программы. Необходимо ли ей писать в защищенные области "памяти" или нет.


Правильный уровень UAC с точки зрения Microsoft - уровень по умолчанию.
Остальное - либо экзотика, либо дырявое решето.


Механизм оперативной доставки MSI-пакетов уже налажен? На самом деле, я только за!


Это не сисадмины сделали. Это штатное поведение современных ОС: Win7, Win8.1, Win10.


Вы очень сильно заблуждаетесь. Только что в песочнице установил Хром под непривилегированным пользователем без повышения прав UAC в %AppData% - все прекрасно работает (и обновляется) без апдейтера от имени SYSTEM.



У нас Хром можно установить через MS SCCM. Служба апдейтера кастрируется. Хром обновляется также через SCCM.

Нельзя. MSI-пакет админы должны сами готовить?

MSI-пакет обязан готовить разработчик ПО (ну или дилер):
1) ибо во всех этих решениях по ссылкам регулярно встречаются проблемы;
2) механизм распространения должен быть оперативным: чтобы конечный пользователь никогда не встречал ошибки, что текущая схема создана в более свежей версии программы;
3) Ну и наконец админы должны заниматься своей настоящей работой.

Тут мало того, что MSI - надо ещё и MSP пакеты делать для минорных апдейтов, которые идут как апдейты. К тому же судя по всему не все админы умеют ставить MSI/MSP пакеты через Group Policy. Или не хотят. Мой ответ про ADM файл для расширения GP и сделанный для конфигурации путей так и остался проигнорированным.

Поверю. Я имею ввиду, что обойти UAC из самой программы нельзя "легальными" методами. Я сейчас говорю про обход UAC в части тех событий, которые вызывают сработку UAC. То, что программу можно написать так, чтобы не вызывались UAC-события можно - я не спорю, но на это тоже есть свои ограничения. Например, нельзя будет ставить программу в Program Files, чтобы при этом не вызывался UAC. А те же админы любят ставить именно в Program Files - ибо это есть правильно.

Точка зрения многих далеко не всегда совпадает с точкой зрения Microsoft.
Иначе можно было бы убрать 80% настроек Windows.

Именно что в песочнице.

Выше явно указано, что сисадмины. У обычных неадминистрируемых юзеров нет никаких проблем 1 раз отключить UAC, что и делают очень многие. Или им делают знакомые.

Можно. Но мы выше говорили про штатный апдейтер и классическую установку, так ?
Это я к тому, что админы могут решить проблему с UAC и обновлением АГ сами уже сейчас. Способы есть.

Дак может подробно описать в мануале по установке и снять этим часть вопросов. Лично я не знаю как это сделать, обновляю копированием файлов и портабельной версии