允许用户在由 Active Directory 控制的 Vista 工作站上安装应用程序

允许用户在由 Active Directory 控制的 Vista 工作站上安装应用程序

我有一个装有 Windows Server 2008、Active Directory 和 Vista 工作站的网络。我需要允许用户在需要时安装应用程序和字体(不用担心,他们都是值得信赖的人 :),但我不想让他们成为域管理员。

我如何使用 AD 来实现这一点?

非常感谢

理查德

答案1

你只需要制作它们本地管理员(在他们的工作站上)不是域管理员

有关脚本,请参阅如何将域用户添加到本地管理员组?

strComputer = "PCName"
Set objGroup = GetObject("WinNT://" & strComputer & "/Administrators")
Set objUser = GetObject("WinNT://MyDomain/MyUser")
objGroup.Add(objUser.ADsPath)

答案2

在本地计算机上设置第二个具有本地管理员权限的用户。例如“username_la”。当用户想要安装某些东西时,使用“以...身份运行”或在要求验证安装时输入备用凭据。

这减少了窗口可利用的表面面积。

答案3

使用 Active Directory/组策略中的受限组将他们添加为本地管理员。

答案4

将用户的 AD 帐户添加到本地系统的管理员(或高级用户,如果可能)团体

我打开 MMC(在 XP 中,右键单击我的计算机,然后单击“管理”),然后从树中打开用户和组,并从组中将域用户添加到高级用户或管理员组。他们应该能够从那里登录并根据需要添加内容。

不过,正如我在评论中提到的,当该用户工作时,浏览恶意软件等也将拥有该计算机的管理员访问权限。

相关内容