我有一个装有 Windows Server 2008、Active Directory 和 Vista 工作站的网络。我需要允许用户在需要时安装应用程序和字体(不用担心,他们都是值得信赖的人 :),但我不想让他们成为域管理员。
我如何使用 AD 来实现这一点?
非常感谢
理查德
答案1
你只需要制作它们本地管理员(在他们的工作站上)不是域管理员
有关脚本,请参阅如何将域用户添加到本地管理员组?
strComputer = "PCName"
Set objGroup = GetObject("WinNT://" & strComputer & "/Administrators")
Set objUser = GetObject("WinNT://MyDomain/MyUser")
objGroup.Add(objUser.ADsPath)
答案2
在本地计算机上设置第二个具有本地管理员权限的用户。例如“username_la”。当用户想要安装某些东西时,使用“以...身份运行”或在要求验证安装时输入备用凭据。
这减少了窗口可利用的表面面积。
答案3
使用 Active Directory/组策略中的受限组将他们添加为本地管理员。
答案4
将用户的 AD 帐户添加到本地系统的管理员(或高级用户,如果可能)团体。
我打开 MMC(在 XP 中,右键单击我的计算机,然后单击“管理”),然后从树中打开用户和组,并从组中将域用户添加到高级用户或管理员组。他们应该能够从那里登录并根据需要添加内容。
不过,正如我在评论中提到的,当该用户工作时,浏览恶意软件等也将拥有该计算机的管理员访问权限。