我有一个与Windows Server 2008,Active Directory和Vista工作站的networking。 我需要允许用户在需要时安装应用程序和字体(不要担心它们都是值得信赖的人:)但我不想让他们成为域pipe理员。
我怎样才能做到这一点与AD?
非常感谢
理查德
你只需要让他们本地pipe理员 (在他们的工作站上)而不是域pipe理员
有关脚本,请参阅如何将域用户添加到本地pipe理员组?
strComputer = "PCName" Set objGroup = GetObject("WinNT://" & strComputer & "/Administrators") Set objUser = GetObject("WinNT://MyDomain/MyUser") objGroup.Add(objUser.ADsPath)
在本地机器上设置第二个具有本地pipe理员权限的用户。 像“username_la”。 当用户想要安装某些东西时使用“运行身份”或input备用凭据,当他们被要求authentication安装。
这减less了窗户的可利用表面积。
将其添加为使用Active Directory /组策略中的受限组的本地pipe理员。
将该用户的AD帐户添加到本地系统的pipe理员(如果可能,则为高级用户) 组 。
我打开MMC(在XP中右键单击我的电脑,然后单击pipe理),然后从树中打开用户和组,然后从组中添加域用户到高级用户或pipe理员组。 他们应该能够从那里login并添加必要的东西。
正如我在评论中提到的那样,虽然浏览型恶意软件也可以在该用户正在工作的情况下对该计算机具有pipe理员访问权限。