域用户权限|安装软件

最新推荐文章于 2024-12-06 15:28:52 发布
转载 最新推荐文章于 2024-12-06 15:28:52 发布 · 1.4k 阅读 · 3 ·
CC 4.0 BY-SA版权
原文链接:https://yq.aliyun.com/articles/424988

如何让普通的域用户有安装软件的权限?现在给客户部署了活动目录,客户要求 普通的域用户也可以自己安装软件。不知道如何设置,希望大家帮帮忙!我告诉客户的做法如下:不知道可行性如何?

1、在域中新建一个域账户比如setup设置密码永不过期用户不能更改密码,添加到域管理员组中。
2、修改域组策略计算机配置-windows设置---安全设置---本地策略---用户权限分配-找到 拒绝本地登陆 这个策略:启用这个策略 将新建的用户如setup添加到里面。
3、域用户要安装软件的时候:右键点击需要安装的软件选择:ruan as (即 运行方式) 
  选择  下列用户:输入 新建的用户名密码 (如 域名\setup)安装即可。

回答:根据您的描述,我对这个问题的理解是:您需要让普通域用户可以在域中的客户机上有安装软件的权限。普通用户之所以不能安装软件,一般是缺少对注册表的修改权限以及对安装目标文件夹的修改权限。只有少数组成员拥有该权限,如本地管理员组和Power User组的成员,有的软件必须要本地管理员组的成员才能安装。

所以,最直接的办法是将域用户帐号加到客户机的本地管理员组或者是Power Users组,绝大多数用户会这样去做,也是推荐的方法。

如果此方法不符合客户的安全规定,也有相对复杂一些的做法,极少数用户会用到:
1.记录安装这些软件之前的注册表和文件夹状态您看到的文章来自活动目录seohttp://gnaw0725.blog.51cto.com/156601/d-1

2.管理员安装这些软件
3.完成后,确定这些软件会修改哪些注册表键值和文件夹。
4.然后在每个注册表键值和文件夹上赋予普通用户相应的权限
……

除此之外,对于某些软件:
可以将软件使用组策略分发给计算机自动安装,用户不必手动安装,但仅限于某些软件,需要经过测试才能使用此方法。这里是分发.msi格式安装文件的一个参考:http://support.microsoft.com/kb/887405/en-us

还有很多方法,但都需要根据要安装的软件和客户的策略是否允许。

您的思路是可行的,但需要进行一些补充。因为让每个用户都知道域管理员的密码是极不安全的做法,即使您拒绝本地登录。(就安全性而言, 将域用户加到他的工作机的本地管理员组会更好。)

如果希望使用run as的方法,建议编写管理员安装的run as登录脚本,然后使用script encoder对脚本进行编码加密
如何使用run as请参考:http://support.microsoft.com/?id=294676

下载并使用Script Encoder请参考:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E7877F67-C447-4873-B1B0-21F0626A6329&displaylang=en

穆骥 微软全球技术支持中心

域用户权限|安装软件的相关文章请参考
如何查看域用户权限
域用户权限|查看日志
域用户权限|共享文件夹
域用户权限|连接DC终端服务
域用户权限|运行软件

域用户权限|安装软件
域用户权限|安装声卡驱动
域用户权限|添加本地打印机
域用户权限|无法连接打印机





本文转自 149banzhang 51CTO博客,原文链接:http://blog.51cto.com/149banzhang/713308,如需转载请自行联系原作者
解决用户安装软件权限问题
白昼的技术专栏
01-14 3万+
用户登录系统后,要安装软件的时候会有提示输入管理员密码, 如果要去掉这个限制,需要将用户用户组加入到本地管理员的Administrators组或Power Users组中。 方法: 1、用本地管理员帐号登录系统,打开cmd,运行以下命令: net localgroup Administrators "名\Domain Users" /add 2、查看Administrators组的成员,是否添加成功: net localgroup Administrators Domain
AD加域账号权限设置
最新发布
mandarin_meng的博客
10-11 447
用户提供的加域账号权限不够,会导致加失败,因此本章节给出AD账号加权限的几种要求,用户可以根据对AD的熟悉程度任选一种方式进行设置。输入Domain Admins,单击“检查名称”,单击“确定”,即可加入对应的组。单击“添加”,选择需要委派权限用户用户组(即需要加的账号),单击“下一步”。委派权限用户即为加的账号,与配置NCE-Campus加入AD的加域账号一致。选择对于计算机对象所有的权限,如下图所示,单击“下一步”。选择“计算机对象”,如下图所示,单击“下一步”。
控环境下,让普通用户在电脑自助安装软件
weixin_42494218的博客
02-22 6924
控环境下,让普通用户在电脑自助安装软件
管理员在计算机安装程序,使用用户权限|安装软件
weixin_34313315的博客
07-10 5593
1、在中新建一个账户比如setup设置密码永不过期用户不能更改密码,添加到管理员组中。2、修改组策略计算机配置-windows设置---安全设置---本地策略---用户权限分配-找到 拒绝本地登陆 这个策略:启用这个策略 将新建的用户如setup添加到里面。3、用户安装软件的时候:右键点击需要安装软件选择:ruan as (即 运行方式)选择 下列用户:输入 新建的用户名密码 (如 ...
如何授权用户安装指定的软件?
zhoubifa的专栏
11-30 7224
公司几百台计算机都假如了,很多软件需允许domain/user身份不能通过控来分发,我做了这样一个程序解决了此问题.程序里面的具体步骤如下:1、获取计算机名;2、预设具有软件安装权限用户名和密码;3、创建进程执行批处理命令行,以管理员身份安装软件。4、结束进程。 [Win32汇编语言]版本代码:;获取计算机名,预设具有软件安装权限用户名和密码,创建进程执
控制器环境中基于GPO限制用户软件安装权限的方法与实践
01-22
内容概要:本文详细介绍了利用Active Directory和组策略对象(Group Policy Objects, GPO),针对特定组织单元(Organizational Unit, OU)实施限制用户软件安装权限的方法。流程涵盖创建新的OU并将相应用户和计算机加入...
AD用户权限变更及安装软件.pdf
11-25
AD 用户权限设置 AD 用户权限设置是 Windows 环境中的一项重要设置,旨在确保用户环境中的安全和权限控制。本文将详细介绍 AD 用户权限设置的重要性、权限设置方法、解决普通用户权限问题等。 一...
RunAsSpc使用-AD普通用户自行安装权限软件
05-04
1.RunAsSpc使用——AD普通用户自行安装权限软件 2.unAsSpc 无需安装,可携带所有选项,提供多种可能性。 标准用户可以通过管理员配置和创建的加密文件安装程序、驱动程序、更新、安全补丁。 此加密文件可以在本地...
用户以管理员权限运行程序方法.txt
06-29
用户以管理员权限运行程序方法,用户运行Everything ,等适用绝大部分程序!!!!!!!!!!!!!
系统工具CAPU实现普通用户权限安装软件
weixin_37540600的博客
08-06 987
【摘要】​企业环境中,为了安全起见一般都没有赋予用户或者企业的PC客户端用户管理员权限;避免客户端随意安装软件或非正规软件,以免企业环境中毒;目前软件发展迅速;许多软件需要更新替代已经换用更好的软件;但这些软件普遍需要本地管理员权限才能安装;一般较小的软件我们可能会采用组策略推送到客户端,但较大软件使用组策略推送缓慢也易...
利用cpau实现无管理员权限安装和卸载软件,非常适合、工作组等没有管理员权限
03-12
1、将需要安装软件和cpau.exe放在一个文件夹,包括双击卸载等,除了crt的文件,然后执行附件指令,-u可以是比如test.com\admin 3、执行完毕会帐号和密码无误,会出现执行成功 4、将bat文件内的crt名进行修改即可 5、这样没有管理员权限的普通用户直接双击bat文件即可临时获得权限,特别适用于环境 6、安装和卸载同样适用此方法。
Windows2012绑定账户FTP安装权限、配额设置
04-24
windows2012安装FTP,配置,权限设置,绑定账户,员工个人文件夹配额
控操作十七:一般员工提权直接安装软件
qq_45669879的博客
05-23 2351
按图配置好路径 然后点save即可这样证书文件夹就会有一个证书文件了。之后把这个快捷方式直接发给在控局网的员工就能直接安装了。将runasspc创建个快捷方式,然后右键快捷方式。一个没有密码的共享盘(控服务器也可以)然后打开共享文件夹的program。后面那个路径是这个软件的证书路径。先去共享文件夹创建以下快捷方式。无法正常安装需要管理员权限
中自动安装软件
fangchao918628的专栏
06-28 4769
在Windows Server 2003中可以将程序分发分配到用户或计算机。如果将程序分配给一个用户,在该用户登录到计算机时就会安装此程序。在该用户第一次运行此程序时,安装过程最终完成。如果将程序分配给一台计算机,在计算机启动时就会安装此程序,所有登录到该计算机上的用户都可以使用它。在某一用户第一次运行此程序时,安装过程最终完成。您可以将一个程序分发发布给用户。当用户登录到计算机上时,发布的程序会
AD统一管理计算机安装软件,微软和AD的计算机统一安装 用户安装软件客户端PC批量分配自动安装教程...
weixin_35427210的博客
07-14 4856
新建的VNC右键点编辑打开计算机配置-策略-软件设置-软件安装软件安装-右键新建数据包,从控AD1的共享中选择TightVNC.msi添加进入,跳出的部署软件窗口,选择已分配需要注意,这里路径不能用IP,必须用计算机名,否则XP系统的客户端PC将无法批量部署安装到此,批量分配自动安装软件基本完成但是,因为TightVNC是网络软件,所以在中使用还需要为它打开防火墙端口,默认是TCP 5900...
使用控批量安装软件
热门推荐
weixin_45969832的博客
02-24 1万+
自带的批量部署软件有多种方式: 1,发布,服务器发布软件,客户端到添加删除程序─添加新程序中点击安装 2,分配指派到用户,在客户端用户登录时自动安装 3,分配指派到计算机,在客户端计算机重启时自动安装 具体可以参看ning_lianjie的博文:http://ninglianjie.blog.51cto.com/777346/209410 个人更倾向于使用分配到计算机的安装方式,好处是客户端非管理员权限无权卸载 前期准备: 1,Windows Server 2008 R2 控服务器一台(
windows server2008 AD的部署、退出及软件分配安装。即在用户初次登录时安装
猪肉炖白菜
07-26 5509
** 小知识点: ** 发布:把某个软件分发给用户以后,用户下次在任意计算机登录时,所部属的软件都会出现在用户计算机的“添加和删除程序”对话框中,供用户下载安装。 分配:分配是强制性的软件部属方式。当软件分配给用户时,用户无论在任意的计算机上登录的时,该软件都会自动安装,都可以在“开始”菜单或者是桌面上看到该软件的快捷方式。 PS:传图是真的麻烦。 AD的部署: 找到服务器管理,点击角色,然...
【windows系统】账户跳过管理员权限安装软件或卸载软件的方法(更改UAC设置)
欲买桂花同载酒的博客
12-06 1万+
普通账户安装软件或者更改计算机的某些设置的时候,会出现一些让输入管理员账号密码之类的提示,非常不便捷。那么有什么办法可以绕过这一步操作呢?本次采用设置账户UAC(用户账户控制)权限的方式来进行操作。
AD中普通用户权限安装软件
05-06
### AD中普通用户权限安装软件的解决方案 在Active Directory (AD) 环境中,默认情况下,普通用户不具备安装软件权限。这是因为软件安装通常涉及修改系统文件和注册表项的操作,这些操作可能会影响系统的稳定性和安全性。然而,如果需要允许某些普通用户在特定条件下安装软件,则可以通过配置组策略对象(Group Policy Object, GPO)实现这一需求。 #### 方法一:通过GPO分配软件 可以利用GPO中的“**Software Installation**”功能来分发和部署软件。这种方法的核心在于由管理员预先批准并打包所需的软件包,然后将其推送到目标用户的设备上。具体步骤如下: 1. 创建一个新的GPO或者编辑现有的GPO。 2. 转至`Computer Configuration\Policies\Software Settings\Software Installation`路径下[^1]。 3. 右击“Software Installation”,选择“New Package”选项,并指定要安装的应用程序位置及其参数。 4. 设置好推送模式——可以选择“Assigned”(强制安装)或“Avaliable”(供用户自行下载)。对于普通用户而言,“Avaliable”更合适一些,因为它不会干扰日常使用体验的同时给予一定灵活性[^1]。 需要注意的是,这种方式仅适用于MSI格式封装好的应用;如果是EXE类型的安装程序则需转换成相应的MSI版本再进行处理。 #### 方法二:调整本地安全策略 另一种方法是更改默认的安全模板设定,使得标准账户也能执行部分受限行为比如运行脚本或是调用命令行工具完成自动化部署流程等动作。这涉及到对以下几方面的重新定义: - **User Rights Assignment**: 修改哪些主体能够加载驱动程序、备份/恢复数据文件以及关闭操作系统等功能的权利授予列表; - **Privilege Escalation Control Policies**: 如启用“Allow log on locally as administrator without UAC prompt”的开关以便简化交互过程但同时也会带来潜在风险所以务必谨慎对待此类变更决策[^3]。 另外还可以考虑引入第三方应用程序管理平台作为补充手段之一,它们往往提供了更加精细粒度控制能力从而满足复杂场景下的业务诉求。 ```powershell # 示例 PowerShell 脚本用于展示如何查询当前登录用户的SID信息 $currentUserSid = ([System.Security.Principal.WindowsIdentity]::GetCurrent()).User.Value Write-Output ("Current User SID is {0}" -f $currentUserSid) ``` 以上就是关于解决AD环境下让普通成员能够在不违反整体安全管理框架前提之下合法合规地获取所需资源的相关建议和技术路线图概述。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值