Como configurar contas não administrativas para instalar atualizações de aplicativos que não são da Microsoft usando o Active Directory?

Navegue suas respostas
5

Como configurar usuários não administradores para permitir que instalem atualizações para Java e Adobe Acrobat Reader (ou qualquer outro aplicativo que possa precisar de tais privilégios) sem precisar de senha de administrador no Windows 7. As atualizações para produtos da Microsoft são instaladas sem problemas.

Pode ser a solução do Active Directory (Windows 2003) ou baseada em computador (empregável por meio de GPO ou script de login).

Editar: Apenas para adicionar algumas informações. Eu sei que a Secunia oferece Secunia CSI que se integra ao WSUS e permite outras atualizações de software implantadas através dele. Mas é um software pago que é algo que eu gostaria de evitar.

Também dar direitos de administrador / usuário avançado não é algo que eu queira ter desde então, isso abre brechas de segurança adicionais.

    
por MadBoy 25.04.2010 / 19:35

3 respostas

5

Agrupe as atualizações como MSI com o seu empacotador favorito (se ainda não estiverem em um formato MSI adequado) e implante-as usando o implantador integrado do Active Directory. Isso não exigirá direitos administrativos nos clientes. No entanto, pode tornar-se entediante, onde o gerenciamento de patches e os pacotes de distribuição de software entram em ação.

Além disso, como uma nota lateral, o Power User é basicamente o mesmo que o Administrador quando se trata de segurança, portanto, não é realmente melhor do que Administrador.

    
por 25.04.2010 / 20:50
1

Eu configurei seus sistemas para serem gerenciados no AD e, em seguida, cliquei com o botão direito do mouse no nome da máquina, clique em gerenciar e, em seguida, altere temporariamente suas permissões. Eu dou-lhes 2-4 horas para fazer o que precisam, e depois eu configuro de volta.

Você pode configurar a política de grupo e aplicá-la a uma nova unidade organizacional e colocar seus computadores nela. O único problema é que eu não consigo fazer isso com usuários do Windows 7. Eu manualmente tenho que tocar o gp local em suas máquinas. Eu coloco isso como parte da minha lista de construção ou mudo o gp quando estou trabalhando no sistema deles.

Aparentemente, poderei configurá-lo para as máquinas W7 ao substituir meu DC pelo Windows 2008 R2.

Meus dois centavos.

    
por 20.05.2011 / 01:25
0

Bem, você realmente precisa dar à pessoa que está fazendo esses direitos de administrador em cada PC local. Você pode sobreviver com direitos de usuário avançados (dependendo do software que precisa ser atualizado), mas é improvável.

Aqui está como eu abordaria isso ...

Crie contas de usuário em seu domínio para as pessoas que farão esse trabalho, crie um grupo chamado algo como "Direitos de administrador local", adicione todas as novas contas ao grupo.

Usando Usuários e Computadores do Active Directory, crie uma política nos contêineres dos computadores e implemente um grupo restrito para forçar o grupo de domínio 'Direitos de administrador local' a ser um membro do grupo 'Administradores' de cada computador. - tome cuidado para colocar a política de forma que ela afete apenas os computadores nos quais você está interessado (por exemplo, tenha cuidado para evitar que esse servidor entre em vigor em seus servidores).

    
por 25.04.2010 / 19:58

Tags

Configuração do Host Virtual Apache www vs não www, Rewrite ou sServerAlias? como habilitar o registro do redmine (ruby on rails)?