Как позволить устанавливать программы пользователю в Active Directory?

Question

[Vi]

Я не очень понимаю почему так нельзя? Как повысить пользователя до админа, но так чтобы он на сервере ничего не мог делать ?
А то есть программисты которым надо больше свободы дать на локальном компьютере, как это делается подскажите?

Answer 1

[other_letter]

Открываете локальных пользователей, там добавляете доменную учётку в локальных админов.
Всё.
Можете погуглить "добавить доменного пользователя в локальные админы" и найти что-ьто с картинками и стрелочками.

Comments

[Vi]

Попробую, надеюсь получится. Спасибо большое

Answer 2

[Иван Базайченко]

В локальных политиках безопасности возможна более гибкая настройка прав пользователей. Существуют еще шаблоны безопасности.
Вопрос в том насколько высоки требования к безопасности в организации.
Т.е давать админские права на локальной машине, это в принципе значит что машина подвержена заражению вирусами под этим пользователем.

Comments

[Vi]

да я понимаю, но работаю опытные пользователи и программисты, им бы хотелось давать доступ к установке всего чего захотят, но при этом чтобы не было у них доступа на сервер, а только локальная машина. Что скажете? Как обычно с таким делается?

[Vi]

В идеале, чтобы он просто мог устанавливать и работать с программами которые нужные админские права. И даже если сменит компьютер права сохранились и на этой машине

[Иван Базайченко]

Vi: вообще обычно создается группа в АД, эта группа добавляется политиками в локальные админы на всех машинах в домене. Но тут важно понимать что все пользователи добавленные в эту группу будут иметь доступ ко всем раб станциям, это круто когда надо дать доступ отделу техпо, когда им это действительно надо.

Поиграйтесь с групповыми политиками: Конфигурация пользователя - Политики - административные шаблоны - комппоненты Win - Установщик.

Answer 3

[Сергей]

Чтобы сделать требуемое не вставая с места, можно воспользоваться Консолью управления GPO на DC. Перейти в конфиг. компьютера-Настройка-Локальные пользователи и группы. Добавить новую группу, в списке выбрать Администраторы, а ниже в окне выбрать членов этой группы из каталога (нужного программиста). Потом в Фильтре безопасности выставить уч. запись нужного ПК на чтения данного объекта групповой политики, чтобы не разлетелось всем сразу. Все. После перезагрузки у программиста все права на свой ПК, а про безопасность вас предупредили, на своем ПК он может воровать и убивать.

Answer 4

[MrDywar Pichugin]

Распространяйте программы через установку/удаление ПО. Не помню точно, но туда можно накидать софта для установки, проверенное вами. Пользователь будет просто заходить туда и ставить. В сети есть бесплатный курс от Сергея Шейна по администрированию.

Про мысли:
Когда пользователь Админ на локальной машине, он может делать что захочет. Мимикатом сдампить ваш пароль если вы подключались к нему. Будучи пользователем включить логирование нажатых клавиш в ПунтоСвитчере и попросить что то сделать на своем ПК человека с более высокими правами. Если доступно, считает всех пользователей домена через PowerShell, и начнет брутить потихоньку им же.

Comments

[Vi]

Спасибо за совет, по поводу установки по, то я создал в политиках пакет с программами, и по вай фаю уже начальная загрузка занимает больше полу-часа. Но все равно совет отличный.

[Vi]

Интересно а как администрируют в больших корпорациях, например эпл?

[Иван Базайченко]

Vi: точно не на винде =)

[CityCat4]

Ну пусть брутит - это он сделает за меня мою работу :-) по доказательству того, что пароли должны быть сложными :-) Ну и кроме всего, есть еще такая вещь как учет установленных программ. И даже СМП.

Answer 5

[CityCat4]

Сделать программиста админом своего компа. При этом предупредить его о том, что это несет с собой. Если контора достаточно бюрократизированная, получить от руководства служебку с подписями. Если нет - все равно предупредить, что если он разнесет свой комп, то восстанавилваться он будет в последнюю очередь.

Comments

[Vi]

Тоесть имеется ввиду не вводить его в домен?

[CityCat4]

"Его" - программиста или "его" - комп? Впрочем не важно. Разумеется вводить. И того и другого. Но нужно будет _на локальном компе_ войти админом и включить учетку программиста в _локальную_ группу администраторов. Или же это сделать через политики или как-нибудь еще. Нашим админам проще вручную, потому что это действие разовое.