Как настроить пользователей без прав администратора, чтобы они могли устанавливать обновления для Java и Adobe Acrobat Reader (или любого другого приложения, которому могут потребоваться такие привилегии) без пароля администратора в Windows 7. Обновления для продуктов Microsoft устанавливаются без проблем.
Это может быть решение Active Directory (Windows 2003) или компьютерное (с возможностью использования через GPO или сценарий входа).
Редактировать: Просто чтобы добавить некоторую информацию. Я знаю Secunia предложения Secunia CSI который интегрируется с WSUS и позволяет через него развертывать другие обновления программного обеспечения. Но это платное программное обеспечение, которого я бы хотел избежать.
Кроме того, предоставление прав администратора / опытного пользователя - это не то, чего я хочу, с тех пор это открывает дополнительные дыры в безопасности.
Упакуйте обновления как MSI с помощью вашего любимого упаковщика (если они еще не в подходящем формате MSI) и разверните их с помощью встроенного средства развертывания Active Directory. Это не потребует никаких административных прав на клиентах. Однако это может стать утомительным занятием, потому что здесь в игру вступают пакеты управления исправлениями и распространения программного обеспечения.
Также, в качестве примечания, Power User в основном то же самое, что и Administrator, когда дело доходит до безопасности, так что на самом деле он не лучше, чем Administrator.
Я настраиваю их системы для управления в AD, а затем просто щелкаю правой кнопкой мыши имя машины, нажимаю «Управление», а затем временно меняю их разрешения. Я даю им 2-4 часа, чтобы сделать то, что им нужно, а потом откладываю.
Вы можете настроить групповую политику и применить ее к новому подразделению и разместить там свои компьютеры. Единственная проблема в том, что я не могу этого сделать с пользователями Windows 7. Мне вручную приходится трогать локальный gp на их машинах. Я ставлю это как часть моего контрольного списка сборки или меняю gp, когда я работаю над их системой.
Судя по всему, я смогу настроить его для машин W7 при замене моего DC на Windows 2008 R2.
Мои два цента.
Что ж, вам действительно нужно дать человеку, выполняющему эти права администратора, на каждом локальном ПК. Вы мощь обойтись правами опытного пользователя (в зависимости от программного обеспечения, которое требует обновления), но это маловероятно.
Вот как я бы подошел к этому ...
Создайте учетные записи пользователей в своем домене для людей, которые будут выполнять эту работу, создайте группу с названием что-то вроде «Права локального администратора», добавьте все новые учетные записи в группу.
Используя Active Directory - пользователи и компьютеры, создайте политику для контейнеров компьютеров и внедрите ограниченные группы политика для принудительного включения группы домена «Права локального администратора» в группу «Администраторы» каждого компьютера. - позаботьтесь о размещении политики так, чтобы она влияла только на интересующие вас компьютеры (т.е.заботьтесь, чтобы этот сервер не влиял на ваши серверы).