我想授予远程分支管理员在其自己的 OU 客户端计算机上安装任何应用程序软件(如 .EXE 或 .msi)的权限。这是客户的要求。
客户要求不要将分支管理员添加到本地管理员组,也不要添加到域管理员组。
我尝试授予以下权限,但它不起作用并且不允许安装 Microsoft Office 或 PDF 等应用程序。
计算机配置->管理模板->windows 组件->windows 安装程序:
- 始终使用提升的权限安装 -> 已启用
- 允许用户在升高时使用媒体源 -> 已启用
请帮忙。
答案1
为了使这些远程分支管理员能够安装他们想要的任何东西,他们必须是本地管理员;没有办法解决。
但是,如果你不打算将它们添加到本地管理员组,那么关于你唯一的选择是使用组策略允许用户安装一组预先批准的已发布的软件。
此链接将帮助您允许用户安装已发布的预先批准的软件,并且此链接是一个支持指南。
如果您需要更多信息,请告诉我。
其他人可能使用了其他选项,但我的经验告诉我,我建议的选项是除本地管理员权限之外的最佳选项。
如果发生任何变化并且您获得了本地管理员权限的批准,则可以使用应用于该分支 OU 的 GPO,将该用户或组放入这些 OU 工作站上的本地管理员组。有关该 GPO 的信息,请参阅此处: http://www.petenetlive.com/KB/Article/0000589.htm——但是一定要确保正确遵循,否则您最终可能会替换而不是添加到本地管理员组。
答案2
另一种选择是为他们可以使用的这项特定任务/任务集设置一个分支*帐户。从技术上讲,不是将他们添加为本地管理员,而是根据需要赋予他们权限。