redsabien
@redsabien

Как позволить устанавливать программы пользователю в Active Directory?

Я не очень понимаю почему так нельзя? Как повысить пользователя до админа, но так чтобы он на сервере ничего не мог делать ?
А то есть программисты которым надо больше свободы дать на локальном компьютере, как это делается подскажите?
  • Вопрос задан
  • 4048 просмотров
Решения вопроса 1
@other_letter
Открываете локальных пользователей, там добавляете доменную учётку в локальных админов.
Всё.
Можете погуглить "добавить доменного пользователя в локальные админы" и найти что-ьто с картинками и стрелочками.
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
@Banzaii
Винадмин
В локальных политиках безопасности возможна более гибкая настройка прав пользователей. Существуют еще шаблоны безопасности.
Вопрос в том насколько высоки требования к безопасности в организации.
Т.е давать админские права на локальной машине, это в принципе значит что машина подвержена заражению вирусами под этим пользователем.
Ответ написан
@goodcat32
Чтобы сделать требуемое не вставая с места, можно воспользоваться Консолью управления GPO на DC. Перейти в конфиг. компьютера-Настройка-Локальные пользователи и группы. Добавить новую группу, в списке выбрать Администраторы, а ниже в окне выбрать членов этой группы из каталога (нужного программиста). Потом в Фильтре безопасности выставить уч. запись нужного ПК на чтения данного объекта групповой политики, чтобы не разлетелось всем сразу. Все. После перезагрузки у программиста все права на свой ПК, а про безопасность вас предупредили, на своем ПК он может воровать и убивать.
Ответ написан
Комментировать
Распространяйте программы через установку/удаление ПО. Не помню точно, но туда можно накидать софта для установки, проверенное вами. Пользователь будет просто заходить туда и ставить. В сети есть бесплатный курс от Сергея Шейна по администрированию.

Про мысли:
Когда пользователь Админ на локальной машине, он может делать что захочет. Мимикатом сдампить ваш пароль если вы подключались к нему. Будучи пользователем включить логирование нажатых клавиш в ПунтоСвитчере и попросить что то сделать на своем ПК человека с более высокими правами. Если доступно, считает всех пользователей домена через PowerShell, и начнет брутить потихоньку им же.
Ответ написан
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
Сделать программиста админом своего компа. При этом предупредить его о том, что это несет с собой. Если контора достаточно бюрократизированная, получить от руководства служебку с подписями. Если нет - все равно предупредить, что если он разнесет свой комп, то восстанавилваться он будет в последнюю очередь.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы