如何configuration非pipe理员用户以允许他们在Windows 7上安装Java和Adobe Acrobat Reader(或任何其他可能需要此类权限的应用程序)的更新,而无需inputpipe理员密码。安装Microsoft产品的更新时不会出现问题。
这可以是Active Directory(Windows 2003)解决scheme,也可以是基于计算机的(可通过GPO或login脚本使用)。
编辑:只是添加一些信息。 我知道Secunia提供与WSUS集成的Secunia CSI ,并允许通过它部署其他软件更新。 但是这是付费软件,这是我想避免的。
另外给pipe理员/权力用户的权利是不是我想从那以后它打开了额外的安全漏洞。
将更新打包为您最喜欢的打包程序(如果它们尚未使用适当的MSI格式),并使用Active Directory的内置部署程序进行部署。 这不会要求客户的任何pipe理权限。 然而,补丁pipe理和软件分发套件在哪里起作用可能会变得乏味。
另外作为一个方面说明,高级用户基本上与pipe理员在安全方面相同,所以它并不比pipe理员更好。
我将他们的系统设置为ADpipe理,然后我右键单击机器名称,单击pipe理,然后临时更改他们的权限。 我给他们2-4小时做他们需要的,然后我把它放回去。
您可以设置组策略,并将其应用到新的OU,并将其计算机放在那里。 唯一的问题是,我无法与Windows 7用户这样做。 我手动不得不触摸他们的机器上的本地GP。 我把它作为我的构build清单的一部分,或者当我在他们的系统上工作时更改gp。
显然,我将能够为Windows7 R2replace我的DC时为W7机器设置它。
我的两分钱
那么,你真的需要在每台本地PC上给予这个pipe理员权限。 您可能会遇到权限用户权限(取决于需要更新的软件),但这不太可能。
这是我如何处理这个…
在你的域上创build用户帐户,以便将要完成这项工作的人员创build一个名为“本地pipe理权限”的组,将所有新帐户添加到组中。
使用Active Directory用户和计算机,在计算机的容器上创build策略,并实施受限制的组策略,以强制域组“本地pipe理员权限”成为每台计算机“pipe理员”组的成员。 – 小心放置策略,以使其仅影响您感兴趣的计算机(即注意避免此服务器在您的服务器上生效)。