GPO Permitir que o usuário do domínio instale softwares em máquinas locais sem ser administrador

1

Eu tenho uma unidade organizacional específica com várias máquinas. Acabei de criar um usuário de domínio que deveria ter direitos padrão normais como um usuário local absolutamente normal em todas as máquinas - a única coisa que ele precisa ser capaz de fazer é instalar qualquer tipo de software que ele queira, mas < strong> sem sendo um domínio ou um administrador local ao mesmo tempo.

Pensei que poderia perceber isso usando um GPO para esse usuário, mas ainda não cheguei muito longe.

Existe uma maneira de dar ao usuário recém-criado a permissão de instalar coisas em máquinas localizadas naquela UO específica, sem dar a ele todos os outros direitos de administrador?

    
por Mr. Buttons 22.03.2017 / 15:51

2 respostas

0

Não, o problema é que, para instalar um programa, o instalador geralmente precisa gravar em C: \ Arquivos de Programas, C: \ Arquivos de Programas (x86) e C: \ Windows. Todos esses diretórios são protegidos pelo sistema operacional e só podem ser gravados por um administrador. Além disso, se você fizer uma alteração para todos os usuários no computador (por exemplo, instalar um programa), geralmente o instalador gravará no registro HKEY_LOCAL_MACHINE. A seção de registro HKEY_LOCAL_MACHINE também é protegida pelo sistema operacional e requer acesso administrativo para gravação.

Sua outra opção é enviar o software pela Política de Grupo. Isso permitiria que você instalasse o software em computadores na UO sem que os usuários tivessem acesso administrativo. Para fazer isso, você precisará de pacotes de instalação MSI para cada programa que deseja instalar.

    
por 22.03.2017 / 15:55
0

Bem, duas abordagens aqui:

  • Você precisa ser administrador local para instalar o software, não há "Instalando a delegação de software". Mas a boa notícia é que você pode fazer isso com um GPO, usando grupos restritos: link

  • Você pode usar um GPO para "Publicar software": em oposição a "Atribuir software", que forçará a instalação de um determinado software nos computadores afetados por esse GPO, "Publicar software" permitirá que qualquer usuário esteja conectado em um computador afetado pelo GPO para instalar o software que você publicou nesse GPO: link

Prós e contras: a primeira opção dá ao usuário muita energia, mas ele pode instalar o que precisar; A segunda opção não dá poder ao usuário, mas você terá que fazer um trabalho extra para publicar qualquer software que ele precise. E está para vir no formato MSI!

    
por 22.03.2017 / 17:15