我有一个特定的 OU,里面有多台机器。我刚刚创建了一个域用户,他应该拥有正常的标准权限,就像所有机器上的绝对正常的本地用户一样 - 他唯一需要做的就是安装他想要的任何类型的软件,但是没有同时是域管理员或本地管理员。
我想也许我可以实现这一点,为该用户使用 GPO,但我还没有取得很大进展。
有没有办法授予新创建的用户在位于特定 OU 的机器上安装东西的权限,而不授予他所有其他管理员权限?
答案1
不,您遇到的问题是,要安装程序,安装程序通常需要写入 C:\Program Files、C:\Program Files (x86) 和 C:\Windows。所有这些目录都受操作系统保护,只有管理员才能写入。此外,如果您对计算机上的所有用户进行更改(例如安装程序),安装程序通常会写入注册表中的 HKEY_LOCAL_MACHINE。HKEY_LOCAL_MACHINE 注册表配置单元也受操作系统保护,需要管理员权限才能写入。
您的另一个选择是通过组策略推送软件。这样您就可以在 OU 中的计算机上安装软件,而无需用户拥有管理权限。为此,您需要为每个要安装的程序准备 MSI 安装包。
答案2
嗯,这里有两种方法:
您必须是本地管理员才能安装软件,没有“安装软件委派”。但好消息是,您可以使用 GPO 和受限组来执行此操作:http://social.technet.microsoft.com/wiki/contents/articles/20402.active-directory-group-policy-restricted-groups.aspx
您可以使用 GPO 来“发布软件”:与“分配软件”相反,后者将强制将给定的软件安装到受该 GPO 影响的计算机上,“发布软件”将允许任何登录受 GPO 影响的计算机的用户安装您在该 GPO 中发布的软件: https://support.microsoft.com/en-us/help/816102/how-to-use-group-policy-to-remotely-install-software-in-windows-server-2008-and-in-windows-server-2003
优缺点:第一个选项赋予用户过多权力,但他可以安装任何需要的东西;第二个选项不赋予用户权力,但您必须做额外的工作才能发布他需要的任何软件。而且它将以 MSI 格式提供!
答案3
我曾经这样做过的一种方法是创建安全组。我在域上有一个 Local_Admin 安全组,它被放在所有计算机上的本地管理员组中。然后,您可以将用户移入和移出该安全组,让他们注销/登录,执行他们需要的操作,然后将他们从组中删除。它为他们提供了本地管理员权限,以便他们可以修改机器。这里有一个网站,上面有我所说的内容的说明。应用程序不同,但过程相同。
https://community.spiceworks.com/how_to/907-gpo-to-push-out-local-administrators-across-a-domain