GPO, позволяющий пользователю домена устанавливать программное обеспечение на локальных машинах, не будучи администратором
У меня есть конкретное подразделение с несколькими машинами. Я только что создал пользователя домена, который должен иметь обычные стандартные права, такие как абсолютно нормальный локальный пользователь на всех машинах - единственное, что ему нужно, это устанавливать любое программное обеспечение, которое он хочет, но без того, чтобы одновременно являлся либо доменом, либо локальным администратором.
Я подумал, может быть, я смогу это реализовать, используя GPO для этого пользователя, но я еще не очень далеко продвинулся.
есть ли способ дать вновь созданному пользователю разрешение на установку вещей на машинах, расположенных в этом конкретном OU, без предоставления ему всех других прав администратора?
Нет, проблема в том, что для установки программы, которую установщик обычно должен написать на C:\Program Files, C:\Program Files (x86), и C:\Windows. Все эти каталоги защищены операционной системой и могут быть написаны только администратором. Дополнительно, если вы вносите изменения для всех пользователей компьютера (например, устанавливаете программу), обычно программа установки записывает в реестр HKEY_LOCAL_MACHINE. Реле реестра HKEY_LOCAL_MACHINE также защищена операционной системой и требует административного доступа для записи в.
Другой вариант - протолкнуть программу через групповую политику. Это позволит вам установить программу на компьютеры в OU без того, чтобы пользователи имели административный доступ. Для этого вам понадобятся установочные пакеты MSI для каждой программы, которую вы хотите установить.
.Здесь два подхода:
Для установки программного обеспечения нужно быть локальным администратором, нет никакого "Установки делегирования программного обеспечения". Но хорошая новость заключается в том, что вы можете сделать это с помощью GPO, используя Ограниченные группы: http://social.technet.microsoft.com/wiki/contents/articles/20402.active-directory-group-policy-restricted-groups.aspx
Вы можете использовать GPO для "Публикации программного обеспечения": в отличие от "Назначения программного обеспечения", которое заставит установить данное программное обеспечение на компьютеры, затронутые этим GPO, "Публикация программного обеспечения" позволит любому пользователю, вошедшему в систему на компьютере, затронутом GPO, установить программное обеспечение, опубликованное в этом GPO: https://support.microsoft.com/en-us/help/816102/how-to-use-group-policy-to-remotely-install-software-in-windows-server-2008-and-in-windows-server-2003
Плюсы и минусы: первый вариант дает пользователю слишком много власти, но он может установить все, что ему нужно; второй вариант не дает пользователю власти, но вам придется делать дополнительную работу, чтобы опубликовать любую программу, которая ему нужна. И это должно быть в формате MSI!
Одним из способов, которым я это сделал, является создание групп безопасности. У меня есть группа безопасности Local_Admin в домене, которая включена в группу локальных администраторов на всех компьютерах. Затем вы можете перемещать пользователя в эту группу безопасности и выходить из нее, заставлять его выходить из системы и входить в нее, делать то, что ему нужно, а затем удалять его из группы. Это дает им права локального администратора, чтобы они могли модифицировать машину. Вот один веб-сайт с инструкциями по тому, о чем я говорю. Другое приложение, но процесс тот же.
https://community.spiceworks.com/how_to/907-gpo-to-push-out-local-administrators-across-a-domain