如何讓普通的域用戶有安裝軟件的權限?現在給客戶部署了活動目錄,客戶要求 普通的域用戶也可以自己安裝軟件。不知道如何設置,希望大家幫幫忙!我告訴客戶的做法如下:不知道可行性如何?
1、在域中新建一個域賬戶比如setup設置密碼永不過期用戶不能更改密碼,添加到域管理員組中。
2、修改域組策略計算機配置-windows設置---安全設置---本地策略---用戶權限分配-找到 拒絕本地登陸 這個策略:啟用這個策略 將新建的用戶如setup添加到里面。
3、域用戶要安裝軟件的時候:右鍵點擊需要安裝的軟件選擇:ruan as (即 運行方式)?
? 選擇? 下列用戶:輸入 新建的用戶名密碼 (如 域名\setup)安裝即可。
回答:根據您的描述,我對這個問題的理解是:您需要讓普通域用戶可以在域中的客戶機上有安裝軟件的權限。普通用戶之所以不能安裝軟件,一般是缺少對注冊表的修改權限以及對安裝目標文件夾的修改權限。只有少數組成員擁有該權限,如本地管理員組和Power User組的成員,有的軟件必須要本地管理員組的成員才能安裝。
所以,最直接的辦法是將域用戶帳號加到客戶機的本地管理員組或者是Power Users組,絕大多數用戶會這樣去做,也是推薦的方法。
如果此方法不符合客戶的安全規定,也有相對復雜一些的做法,極少數用戶會用到:
1.記錄安裝這些軟件之前的注冊表和文件夾狀態您看到的文章來自活動目錄seo?http://gnaw0725.blog.51cto.com/156601/d-1
2.管理員安裝這些軟件
3.完成后,確定這些軟件會修改哪些注冊表鍵值和文件夾。
4.然后在每個注冊表鍵值和文件夾上賦予普通用戶相應的權限
……
除此之外,對于某些軟件:
可以將軟件使用組策略分發給計算機自動安裝,用戶不必手動安裝,但僅限于某些軟件,需要經過測試才能使用此方法。這里是分發.msi格式安裝文件的一個參考:http://support.microsoft.com/kb/887405/en-us
還有很多方法,但都需要根據要安裝的軟件和客戶的策略是否允許。
您的思路是可行的,但需要進行一些補充。因為讓每個用戶都知道域管理員的密碼是極不安全的做法,即使您拒絕本地登錄。(就安全性而言, 將域用戶加到他的工作機的本地管理員組會更好。)
如果希望使用run as的方法,建議編寫管理員安裝的run as登錄腳本,然后使用script encoder對腳本進行編碼加密
如何使用run as請參考:http://support.microsoft.com/?id=294676
下載并使用Script Encoder請參考:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E7877F67-C447-4873-B1B0-21F0626A6329&displaylang=en
穆驥 微軟全球技術支持中心
并統計)
)
