Práticas recomendadas de direitos de administrador local do Windows

4

Estamos executando a rede da nossa empresa com algumas estações de trabalho do servidor 2008 R2 AD e do Windows 7. Nossos usuários não têm direitos de administrador local em seus computadores, portanto, o departamento de TI é necessário a cada vez:

  1. um usuário precisa instalar um aplicativo
  2. o java precisa ser atualizado, por exemplo ...

Aqui está o que eu penso:

  1. acho que devemos poder implantar alguns aplicativos usando o GPO
  2. para este cenário, eu realmente não sei ...

Quais são a solução para lidar com isso sem problemas? Seria bom ter uma senha de administrador única, por exemplo ...

Obrigado!

    
por Alex T. 23.08.2013 / 10:40

3 respostas

3

Algumas das várias coisas que usei no passado para fazer isso:

  1. Diretiva de grupo, incluindo scripts de instalação de logon (lote / vbscript / powershell para ativar comutadores em arquivos exe)
  2. Solução de implantação Altiris e / ou Entrega de software Altiris
  3. Além da confiança Powerbroker Desktops , um plug-in de política de grupo que fornece privilégios de instalação a processos em vez de usuários (por exemplo, fornece os privilégios de "admin" do atualizador de java em vez dos usuários)
  4. PsExec e scripts.

As coisas que não usei e que são bastante comuns incluem o Microsoft System Center, o Numara Asset Manager, etc.

Existem muitas maneiras de lidar com esse tipo de coisa, e isso depende de quanto você quer gastar, do tamanho do seu ambiente e se você prefere gastar dinheiro ou tempo.

    
por 23.08.2013 / 22:18
2

Para implantar aplicativos, incluindo java, você pode usar o Microsoft SMS ou um programa semelhante. Na empresa em que trabalho, estamos usando o OCS-Inventory para fazer isso. Aplicativos como o Java, que não podem ser atualizados quando em uso, agendamos para o domingo quando as pessoas estão fora do escritório, temos uma janela de manutenção e apenas atualizamos nesse ponto.

Para a maioria dos aplicativos, a verificação de atualização automática pode ser desativada. Por isso, fizemos isso. Não há mais mensagens de erro para os usuários, e decidimos quando queremos atualizar.

    
por 23.08.2013 / 10:47
0

Qualquer pacote MSI pode ser instalado diretamente usando a política de grupo, incluindo quaisquer transformações que possam ser criadas. Usando uma ferramenta como Orca ou SuperOrca, você geralmente pode personalizar esses arquivos MSI / MST para fazer as alterações necessárias, ou no caso de aplicativos como Java ou Flash Player, você pode usar Configuração do Computador- > Preferências- > > Arquivos para implantar arquivos de configuração no mesmo GPO com o qual você instala.

Atualmente, estou usando isso em nossos ambientes de produção para gerenciar Java, Flash e Reader.

Como usar a diretiva de grupo para instalar remotamente o software

A principal coisa que tonta as pessoas é essa. A instalação ocorre na inicialização, no entanto, o agendamento ocorre no logoff ou no desligamento (não se lembra qual). Portanto, para que um pacote seja instalado, a política de grupo que aciona a instalação deve ter sido atualizada no sistema local antes da reinicialização que irá instalá-lo. A política de grupo deve, na maioria dos casos, ser atualizada a cada 4 horas, então, para a produção, isso geralmente não é um grande problema, mas se você não estiver preparado para isso durante os testes, simplesmente achará que não está funcionando. / p>     

por 26.08.2013 / 21:42