O Active Directory permite que o usuário instale somente

1

Na minha rede de diretórios ativa, desejo satisfazer meu chefe dando a ele permissões semi-administrativas que permitirão que ele instale programas como administrador em situações de emergência em todos os computadores, mas não sacrifique a integridade da rede. Existe algum tipo de configuração de grupo de administradores ou grupo que eu poderia criar que lhe permitiria permissões básicas de usuário + a capacidade de instalar programas / drivers como administrador? Eu não quero dar-lhe o Domain Admin ou qualquer coisa maluca, apenas ignorar o UAC.

Eu lhe daria permissão para ignorar o UAC por meio do GPO, mas precisaria fazer um GPO inteiro apenas para ele? Isso é demais?

    
por jfraczek 08.05.2014 / 21:46

1 resposta

3

IMO, se você está permitindo que ele instale coisas (e você não confia nele), então você já comprometeu a integridade da rede. :)

Dito isto, aqui está uma sugestão:

Use as configurações de Grupos restritos para adicionar sua conta de domínio ao grupo "Usuários avançados" nas estações de trabalho.

Ressalva: Isso pode não permitir que ele instale drivers, pois eles são do nível do sistema e exigem permissões de Administrador.

Usuários avançados podem instalar software, mas não são administradores completos. Para mais informações sobre as diferenças, veja esta pergunta do SU: Diferença entre usuário avançado e administrador

Links do tutorial:

por 08.05.2014 / 21:56