Windows 本地管理员权限最佳实践

Windows 本地管理员权限最佳实践

我们公司网络由几台 2008 R2 AD 服务器和 Windows 7 工作站组成。我们的用户在自己的计算机上没有本地管理员权限,因此每次都需要 IT 部门的帮助:

  1. 用户需要安装一个应用程序
  2. 例如 java 需要升级...

我的想法如下:

  1. 我认为我们应该能够使用 GPO 部署一些应用程序
  2. 对于这种情况,我真的不知道......

有什么解决方案可以顺利处理这个问题?例如,有一个一次性管理员密码就好了……

谢谢 !

答案1

我过去曾使用过以下各种方法来达到这个目的:

  1. 组策略,包括登录安装脚本(批处理/vbscript/powershell 将开关置于 exe 文件中)
  2. Altiris 部署解决方案和/或Altiris 软件交付
  3. Beyond Trust Powerbroker 桌面,一个组策略插件,它为进程而不是用户提供安装权限(例如,它为 java updater 提供“管理员”权限而不是用户)
  4. 执行程序和脚本。

我没有使用过的相当标准的东西包括 Microsoft System Center、Numara Asset Manager 等。

处理这类事情的方法有很多,这取决于您愿意花多少钱、您的环境有多大以及您是愿意花钱还是花时间。

答案2

要部署应用程序(包括 Java),您可以使用 Microsoft SMS 或类似的程序。在我工作的公司,我们使用 OCS-Inventory 来执行此操作。像 Java 这样的应用程序在使用时无法更新,我们安排在人们不在办公室的周日,我们在那里有一个维护窗口,只需在那时升级即可。

对于大多数应用程序来说,自动更新检查可以禁用,所以我们这样做了。不再向用户发送错误消息,我们决定何时升级。

答案3

任何 MSI 包都可以使用组策略直接安装,包括可能创建的任何转换。使用 Orca 或 SuperOrca 等工具,您通常可以自定义这些 MSI/MST 文件以执行所需的任何设置更改,或者对于 Java 或 Flash Player 等应用程序,您可以使用计算机配置->首选项->Windows 设置->文件在您安装的同一 GPO 中部署配置文件。

我目前在我们的生产环境中使用它来管理 Java、Flash 和 Reader。

如何使用组策略远程安装软件

最让人困惑的是这一点。安装发生在启动时,但调度发生在注销或关机时(记不清是哪个了)。因此,为了安装软件包,必须在重新启动安装之前在本地系统上刷新触发安装的组策略。在大多数情况下,组策略应该每 4 小时左右刷新一次,因此对于生产来说,这通常不是一个大问题,但如果您在测试期间没有做好准备,您只会认为它不起作用。

相关内容