У меня есть конкретное подразделение с несколькими машинами. Я только что создал пользователя домена, который должен иметь обычные стандартные права, такие как абсолютно нормальный локальный пользователь, на всех машинах - единственное, что ему нужно, это устанавливать любое программное обеспечение, которое он хочет, но без одновременно являясь либо доменом, либо локальным администратором.
Я подумал, может быть, я смогу это реализовать, используя GPO для этого пользователя, но я еще не очень далеко продвинулся.
Есть ли способ дать вновь созданному пользователю разрешение на установку вещей на машины, расположенные в этом конкретном OU, без предоставления ему всех других прав администратора?
Что ж, здесь два подхода:
Для установки программного обеспечения вы должны быть локальным администратором, здесь нет «Делегирования установки программного обеспечения». Но хорошая новость в том, что вы можете сделать это с помощью GPO, используя группы с ограниченным доступом: http://social.technet.microsoft.com/wiki/contents/articles/20402.active-directory-group-policy-restricted-groups.aspx
Вы можете использовать GPO для «Публикации программного обеспечения»: в отличие от «Назначить программное обеспечение», которое заставит установить данное программное обеспечение на компьютеры, затронутые этим GPO, «Опубликовать программное обеспечение» позволит любому пользователю, выполнившему вход на компьютер, затронутый GPO для установки программного обеспечения, которое вы опубликовали в этом GPO: https://support.microsoft.com/en-us/help/816102/how-to-use-group-policy-to-remotely-install-software-in-windows-server-2008-and-in-windows- сервер-2003
Плюсы и минусы: первый вариант дает пользователю слишком много возможностей, но он может установить все, что ему нужно; второй вариант не дает пользователю никаких полномочий, но вам придется проделать дополнительную работу, чтобы опубликовать любое необходимое ему программное обеспечение. И это будет в формате MSI!
Нет, проблема в том, что для установки программы установщику обычно необходимо записать в C: \ Program Files, C: \ Program Files (x86) и C: \ Windows. Все эти каталоги защищены операционной системой и могут быть записаны только администратором. Кроме того, если вы вносите изменения для всех пользователей компьютера (например, устанавливаете программу), обычно установщик записывает HKEY_LOCAL_MACHINE в реестр. Куст реестра HKEY_LOCAL_MACHINE также защищен операционной системой и требует административного доступа для записи.
Другой вариант - протолкнуть программное обеспечение через групповую политику. Это позволит вам устанавливать программное обеспечение на компьютеры в OU без доступа пользователей с правами администратора. Для этого вам потребуются установочные пакеты MSI для каждой программы, которую вы хотите установить.
Один из способов, которым я это сделал, - это создание групп безопасности. У меня есть группа безопасности Local_Admin в домене, которая входит в группу локальных администраторов на всех компьютерах. Затем вы можете перемещать пользователя в эту группу безопасности и выходить из нее, вывести их из системы или выйти из нее, делать то, что им нужно, а затем удалить их из группы. Это дает им права локального администратора, чтобы они могли изменять машину. Вот один веб-сайт с инструкциями по тому, о чем я говорю. Другое приложение, но процесс тот же.
https://community.spiceworks.com/how_to/907-gpo-to-push-out-local-administrators-across-a-domain