web-dev-qa-db-ja.com

Active Directoryを使用してMicrosoft以外のアプリケーションの更新をインストールするように非管理者アカウントを構成する方法

管理者以外のユーザーがJavaおよびAdobe Acrobat Reader(またはそのような特権を必要とする可能性のあるその他のアプリケーション)の更新をWindows 7の管理者パスワードを必要とせずにインストールできるように設定する方法Microsoft製品は問題なくインストールされます。

これは、Active Directory(Windows 2003)ソリューション、またはコンピューターベース(GPOまたはログインスクリプトで使用可能)のいずれかです。

編集:情報を追加するだけです。知っている Secunia オファーSecunia CSI WSUSと統合し、それを介して他のソフトウェアの更新を展開できるようにします。しかし、それは私が避けたいものである有料ソフトウェアです。

また、管理者/パワーユーザーの権限を与えることは、それ以降に追加のセキュリティホールを開くことにはなりたくないものです。

5
MadBoy

更新プログラムをお気に入りのパッケージャーでMSIとしてパッケージ化し(適切なMSI形式になっていない場合)、Active Directoryの組み込みのデプロイヤーを使用して展開します。これには、クライアントの管理者権限は必要ありません。しかし、面倒な作業になる可能性があります。そこでは、パッチ管理スイートとソフトウェア配布スイートが登場します。

また、副次的な注意として、セキュリティに関しては、パワーユーザーは基本的にアドミニストレーターと同じであるため、アドミニストレーターよりも優れているわけではありません。

5
Oskar Duveborn

ADで管理するようにシステムを設定し、マシン名を右クリックして[管理]をクリックし、一時的にそれらのアクセス許可を変更します。私は彼らに必要なことをするために彼らに2-4時間を与え、それから私はそれを元に戻しました。

グループポリシーを設定して新しいOUに適用し、そのコンピューターをそこに配置できます。唯一の問題は、私がWindows 7ユーザーでこれを行うことができないことです。私は自分のマシンのローカルgpを手動で操作する必要があります。私はビルドチェックリストの一部としてそれを置くか、私が彼らのシステムで作業しているときにgpを変更します。

どうやら、DCをWindows 2008 R2で置き換えると、W7マシン用にセットアップできるようになります。

私の2セント。

1

まあ、あなたは本当に各ローカルPCでこの管理者権限を行う人に与える必要があります。あなたは可能性がありますパワーユーザー権限(アップデートを必要とするソフトウェアに依存します)でうまくいくかもしれませんが、それはありそうにありません。

これが私がこれに取り組む方法です...

この作業を行うユーザーのドメインにユーザーアカウントを作成し、「ローカル管理者権限」などのグループを作成して、すべての新しいアカウントをグループに追加します。

Active Directoryユーザーとコンピューターを使用して、コンピューターのコンテナーにポリシーを作成し、 制限されたグループ ポリシーを実装して、ドメイングループ 'ローカル管理者権限'を各コンピューター '管理者'グループのメンバーに強制します。 -関心のあるコンピュータのみに影響を与えるようにポリシーを配置するように注意してください(つまり、このサーバーがサーバーに影響を与えないように注意してください)。

0
Bryan