Как настроить неадминистраторские учетные записи для установки обновлений приложений не-Microsoft с помощью Active Directory?
Упакуйте обновления как MSI с Вашим любимым поставщиком программного блока (если они уже не находятся в подходящем формате MSI), и разверните их использующий встроенное устройство развертывания Active Directory. Это не потребует никаких административных прав на клиентах. Это может стать утомительным хотя, существует то, где управление исправлениями и комплекты распределения программного обеспечения играют роль.
Также как примечание стороны, Продвинутый пользователь является в основном тем же как Администратор когда дело доходит до безопасности, таким образом, это не действительно немного лучше, чем Администратор.
-
1+1 для развертывания программного обеспечения MSI/GPO. Однако я должен не согласиться с " Продвинутый пользователь является в основном тем же как Administrator". I' d лично переворачивают это и говорят ' Продвинутый пользователь является в основном тем же как стандартом user' который это, потому что единственная разница - то, что продвинутый пользователь имеет, изменяют доступ к нескольким областям файловой системы и реестра, к которому у типичных пользователей обычно только есть доступ для чтения. У администратора есть путь больше прав что продвинутый пользователь. Программное обеспечение Most может быть установлено с правами продвинутого пользователя, хотя, за исключением к чему-либо, что пытается изменить или создать сервисы. – Bryan 26 April 2010 в 09:48
-
2Спасибо ^^ ну, большая часть локального использования повышения хорошо работает как Продвинутый пользователь, that' s, почему I' m связывание его в " никакой go" зона. Это могло бы быть верно, хотя это это предотвращает " normal" пользователи от изменения слишком большого количества материала, я wouldn' t знают, но программное обеспечение установки является определенно страшной частью, которые легко приводят к поставленной под угрозу системе, по-моему. – Oskar Duveborn 26 April 2010 в 10:02
Ну, действительно необходимо дать человеку, делающему это права администратора на каждом локальном ПК. Вы могли бы обойтись правами продвинутого пользователя (в зависимости от программного обеспечения, для которого нужно обновление), но это маловероятно.
Вот то, как я приблизился бы к этому...
Создайте учетную запись (записи) пользователя на своем домене для людей, которые собираются сделать, эта работа, создать группу, названную чем-то как 'Локальные права администратора', добавляет все новые учетные записи к группе.
Используя Пользователей Active Directory и Компьютеры, создайте политику в отношении контейнеров компьютеров и проводите ограниченную политику групп вынудить доменную группу 'Локальные права администратора' быть членом каждой компьютерной группы 'Администраторов'. - заботятся для размещения политики так, чтобы она только влияла на компьютеры, Вы интересуетесь (т.е. заботьтесь для предотвращения этого сервера, вступающего в силу на серверах).
-
1Хорошо it' s не, что я ищу. Я раньше имел всех людей администраторы на их компьютерах, и это хорошо работало, но они установили некоторый материал i didn' t требуемый, и сделал некоторые нежелательные вещи. Таким образом, я предпочел бы сохранять их простыми пользователями со способностью установить обновления программного обеспечения, я указываю. Я действительно знаю о Secunia, предлагающем дополнение WSUS, но it' s платят решение. – MadBoy 25 April 2010 в 21:09
-
2А-ч хорошо. Я так или иначе получил впечатление, Вы хотели, чтобы технический штат смог установить программное обеспечение на всех настольных ПК. Мы развертываем почти все наше программное обеспечение (и обновления) с помощью метода, который описывает Oskar. – Bryan 26 April 2010 в 09:41
Я установил их системы, которые будут управляться в AD, и затем я просто щелкаю правой кнопкой по названию машины, нажимаю, справляются и затем временно изменяют их полномочия. Я даю им 2-4 часа, чтобы сделать то, что они должны, и затем я задержал его.
Можно настроить групповую политику и применить ее к новому OU и поместить их компьютеры там. Единственная проблема состоит в том, что я не могу сделать так с пользователями Windows 7. Я вручную должен коснуться локального GP их машин. Я поместил его как часть моего контрольного списка сборки или изменяю GP, когда я работаю над их системой.
По-видимому, я смогу настроить его для машин W7 при замене моего DC Windows 2008 R2.
Мои два цента.