Я пытаюсь развернуть программное обеспечение в нашем домене с помощью групповой политики, но я могу это сделать, только если пользователь является членом группы с административными привилегиями. Мы не хотим, чтобы пользователи могли устанавливать программы в целом, но хотим иметь возможность назначать / публиковать.
Тестовая программа, которую я использую, изначально представляет собой файл .msi, и она отлично устанавливается для пользователей в группе администраторов. Как мы можем назначать / публиковать для обычных пользователей, не открывая возможности устанавливать что-либо?
Кроме того, из того, что я прочитал, я считаю, что у меня есть правильные разрешения для папки / общего ресурса, где хранятся файлы .msi. Это на Win2008R2 с клиентами Win7Pro.
Установка GPO на уровне пользователя использует права пользователей как свои собственные. Таким образом, если пользователь не является администратором на машине, групповая политика не сможет установить программное обеспечение и потерпит неудачу.
Теперь, с учетом сказанного, компьютерные политики ДЕЙСТВИТЕЛЬНО работают в контексте администратора. Если вы хотите установить программное обеспечение на рабочую станцию без вмешательства администратора, вам необходимо назначить его в качестве политики компьютера. Предостережение заключается в том, что установка программного обеспечения, назначенная политике уровня компьютера, будет выполняться только при запуске, поэтому потребуется событие перезагрузки.
Есть и другие способы обойти это (например, сторонние инструменты, такие как SCCM, развертывание программного обеспечения с использованием сценария входа в систему, который имеет учетные данные для олицетворения), но для них либо требуется $$, либо некоторая работа с вашей стороны (и, возможно, угроза безопасности или два). ..
Насколько я знаю, вы не можете. Пользователь может или не может устанавливать приложения. GPO не могут это изменить
Если вы хотите установить приложение на компьютер, вам нужно будет установить его как пользователь с привилегиями. Это означает применение политики к машине, а не к пользователю.
Кто-нибудь знает способ обойти это?