我有一个特定的OU,其中有几台机器。 我只是创build了一个域用户,这个用户在所有机器上都具有普通的本地用户的标准权限 – 他需要做的唯一的事情就是安装他想要的任何一种软件,但是没有同时是域名pipe理员或本地pipe理员。
我想也许我可以意识到这一点,使用该用户的GPO,但我还没有走得很远。
有没有办法给新创build的用户在特定的OU中的机器上安装东西的权限,而不给他所有的其他pipe理员权限?
不,您所遇到的问题是要安装程序,安装程序通常需要写入C:\ Program Files,C:\ Program Files(x86)和C:\ Windows。 所有这些目录都受到操作系统的保护,只能由pipe理员写入。 此外,如果您对计算机上的所有用户进行更改(例如,安装程序),通常安装程序会将其写入registry中的HKEY_LOCAL_MACHINE。 HKEY_LOCAL_MACHINEregistryconfiguration单元也受操作系统保护,并需要pipe理访问权限来写入。
您的其他选项是通过组策略推送软件。 这将允许您在没有用户pipe理权限的情况下在OU中的计算机上安装软件。 为了做到这一点,您需要安装每个程序的MSI安装包。
那么,这里有两个办法:
您必须是本地pipe理员才能安装软件,没有“安装软件委派”。 但好消息是,您可以使用受限制的群组通过GPO执行此操作: http : //social.technet.microsoft.com/wiki/contents/articles/20402.active-directory-group-policy-restricted-groups.aspx
您可以使用GPO来“发布软件”:反对“分配软件”,这将强制给定软件安装到受该GPO影响的计算机上,“发布软件”将允许任何用户login受计算机影响的计算机GPO来安装您已经在该GPO中发布的软件: https : //support.microsoft.com/en-us/help/816102/how-to-use-group-policy-to-remotely-install-软件在Windows的服务器-2008-和function于Windows的服务器-2003
优点和缺点:第一select给用户太多的权力,但他可以安装他需要的任何东西; 第二个选项不会给用户提供任何权力,但是你需要做额外的工作来发布他需要的任何软件。 它是以MSI格式来的!