web-dev-qa-db-ja.com

ActiveDirectoryはユーザーにインストールのみを許可します

Active Directoryネットワークで、上司に半管理者権限を付与して、ネットワークの整合性を犠牲にすることなく、緊急時に管理者としてプログラムをすべてのコンピューターにインストールできるようにすることで、上司を満足させたいと考えています。基本的なユーザー権限と管理者としてプログラム/ドライバーをインストールする機能を許可する、作成できる管理者グループ設定またはグループのタイプはありますか?私は彼にドメイン管理者や何かおかしなことを与えたくありません。UACをバイパスするだけです。

私は彼にGPO経由でUACをバイパスする許可を与えるつもりでしたが、彼のためだけにGPO)全体を作成する必要がありますか?それは多すぎますか?

1
TheFrack

IMO、あなたが彼に何かをインストールさせている(そしてあなたが彼を信頼していない)なら、あなたはすでにネットワークの完全性を危うくしている。 :)

そうは言っても、ここに提案があります:

GP 制限付きグループ 設定を使用して、ワークステーションの「パワーユーザー」グループにドメインアカウントを追加します。

警告:ドライバーはシステムレベルであり、管理者権限が必要なため、ドライバーをインストールできない場合があります。

パワーユーザーはソフトウェアをインストールできますが、完全な管理者ではありません。違いの詳細については、次のSUの質問を参照してください。 パワーユーザーと管理者の違い

チュートリアルリンク:

3