如何配置非管理员帐户以使用 Active Directory 安装非 Microsoft 应用程序的更新?

如何配置非管理员帐户以使用 Active Directory 安装非 Microsoft 应用程序的更新?

如何配置非管理员用户以允许他们安装 Java 和 Adob​​e Acrobat Reader(或任何其他可能需要此类权限的应用程序)的更新,而无需在 Windows 7 上输入管理员密码。Microsoft 产品的更新安装没有问题。

这可以是 Active Directory(Windows 2003)解决方案,或者基于计算机的解决方案(可通过 GPO 或登录脚本使用)。

编辑: 只是想补充一些信息。我知道塞库尼亚提供Secunia CSI与 WSUS 集成并允许通过它部署其他软件更新的功能。但它是付费软件,这是我想要避免的。

另外,我并不想授予管理员/高级用户权限,因为这会带来额外的安全漏洞。

答案1

使用您最喜欢的打包程序将更新打包为 MSI(如果它们尚未采用合适的 MSI 格式),然后使用 Active Directory 的内置部署程序部署它们。这不需要客户端上的任何管理权限。尽管这可能会变得很繁琐,但补丁管理和软件分发套件可以发挥作用。

另外需要注意的是,在安全性方面,高级用户与管理员基本相同,因此实际上并不比管理员更好。

答案2

我将他们的系统设置为在 AD 中进行管理,然后我只需右键单击计算机名称,单击“管理”,然后临时更改他们的权限。我给他们 2-4 小时的时间做他们需要做的事情,然后我将其恢复。

您可以设置组策略并将其应用于新 OU,然后将他们的计算机放入其中。唯一的问题是我无法对 Windows 7 用户执行此操作。我必须手动触摸他们机器上的本地 gp。我将其作为构建清单的一部分,或者在我处理他们的系统时更改 gp。

显然,当我用 Windows 2008 R2 替换我的 DC 时,我将能够为 W7 机器进行设置。

我的看法。

答案3

嗯,您确实需要授予执行此操作的人在每台本地 PC 上的管理员权限。您可能通过高级用户权限获得(取决于需要更新的软件),但这种可能性不大。

以下是我处理此问题的方法...

在您的域上为将要执行此项工作的人员创建用户帐户,创建一个名为“本地管理员权限”的组,将所有新帐户添加到该组中。

使用 Active Directory 用户和计算机,在计算机容器上创建策略,并实施受限制的群组强制域组“本地管理员权限”成为每台计算机“管理员”组的成员的策略。 - 注意放置策略,以便它只影响您感兴趣的计算机(即注意避免此服务器对您的服务器生效)。

相关内容