Упакуйте обновления как MSI с Вашим любимым поставщиком программного блока (если они уже не находятся в подходящем формате MSI), и разверните их использующий встроенное устройство развертывания Active Directory. Это не потребует никаких административных прав на клиентах. Это может стать утомительным хотя, существует то, где управление исправлениями и комплекты распределения программного обеспечения играют роль.
Также как примечание стороны, Продвинутый пользователь является в основном тем же как Администратор когда дело доходит до безопасности, таким образом, это не действительно немного лучше, чем Администратор.
Ну, действительно необходимо дать человеку, делающему это права администратора на каждом локальном ПК. Вы могли бы обойтись правами продвинутого пользователя (в зависимости от программного обеспечения, для которого нужно обновление), но это маловероятно.
Вот то, как я приблизился бы к этому...
Создайте учетную запись (записи) пользователя на своем домене для людей, которые собираются сделать, эта работа, создать группу, названную чем-то как 'Локальные права администратора', добавляет все новые учетные записи к группе.
Используя Пользователей Active Directory и Компьютеры, создайте политику в отношении контейнеров компьютеров и проводите ограниченную политику групп вынудить доменную группу 'Локальные права администратора' быть членом каждой компьютерной группы 'Администраторов'. - заботятся для размещения политики так, чтобы она только влияла на компьютеры, Вы интересуетесь (т.е. заботьтесь для предотвращения этого сервера, вступающего в силу на серверах).
Я установил их системы, которые будут управляться в AD, и затем я просто щелкаю правой кнопкой по названию машины, нажимаю, справляются и затем временно изменяют их полномочия. Я даю им 2-4 часа, чтобы сделать то, что они должны, и затем я задержал его.
Можно настроить групповую политику и применить ее к новому OU и поместить их компьютеры там. Единственная проблема состоит в том, что я не могу сделать так с пользователями Windows 7. Я вручную должен коснуться локального GP их машин. Я поместил его как часть моего контрольного списка сборки или изменяю GP, когда я работаю над их системой.
По-видимому, я смогу настроить его для машин W7 при замене моего DC Windows 2008 R2.
Мои два цента.