Eu tenho uma rede com Windows Server 2008, Active Directory e estações de trabalho Vista. Eu preciso permitir que os usuários instalem aplicativos e fontes quando precisarem (não se preocupe, todos são confiáveis :), mas eu não quero torná-los administradores de domínio.
Como posso fazer isso com o AD?
Muito obrigado
Richard
Você só precisa torná-los Administradores Locais (em suas estações de trabalho), não Administradores de Domínio
Para um script, consulte Como posso adicionar um usuário de domínio a um grupo de administradores local
strComputer = "PCName"
Set objGroup = GetObject("WinNT://" & strComputer & "/Administrators")
Set objUser = GetObject("WinNT://MyDomain/MyUser")
objGroup.Add(objUser.ADsPath)
Configure um segundo usuário na máquina local com direitos de administrador local. Algo como "username_la". Quando o usuário quiser instalar algo, use "executar como" ou insira as credenciais alternativas quando for solicitado a autenticar a instalação.
Isso reduz a área de superfície explorável das janelas.
Adicione-os como administradores locais usando grupos restritos no Active Directory / Diretiva de Grupo.
Adicione a conta do AD para o usuário ao administrador do sistema local (ou usuário avançado, se possível) grupo .
Eu abro o MMC (no XP com o botão direito do mouse no meu computador e clico em gerenciar), em seguida, abro os usuários e grupos da árvore e de lá nos grupos adiciono o usuário do domínio ao usuário avançado ou grupo admin. Eles devem ser capazes de fazer login e adicionar coisas conforme necessário a partir daí.
Como aludi no comentário, no entanto, o malware de navegação e tal também terá acesso de administrador a esse computador enquanto esse usuário estiver trabalhando.