Пользователи домена не могут устанавливать программы

Содержание

Доменная сеть – способ взаимодействия компьютеров между собой. Такая сеть позволяет управлять компьютерами централизованно.

В доменной сети всегда есть главный компьютер – Контроллер Домена. В специальной программе на контроллере домена создаются учетные записи пользователей– имя пользователя и пароль. Например, для сотрудника Ивана Петрова создана учетная запись i.petrov. С её помощью Иван может выполнить вход в свой рабочий компьютер, работать с общими файлами и печатать на сетевом принтере.

Контроллер домена отвечает ещё и за права доступа к файлам и ресурсам. Например, Иван Петров может иметь доступ только к определенным принтерам и общим папкам, а директор – к любым.

Нужна ли Вам доменная сеть

Вам стоит задуматься о доменной сети, если хотя бы одно утверждение для Вас верно:

  • В Вашем офисе больше 15 компьютеров и их количество будет расти
  • В Вашей сети есть файловый сервер или сервер 1С
  • Необходимо единообразие в настройках компьютеров – одинаковые программы, используемые принтеры и параметры безопасности
  • Вы нанимаете или увольняете сотрудников раз в два-три месяца или чаще
  • Ваши сотрудники работают за одним компьютером посменно
  • Один и тот же сотрудник работает за несколькими компьютерами
  • Вы хотите знать, кто и когда работал с общими файлами. Кто мог удалить важный документ или занести вирус
  • Нужно управлять доступом в Интернет – запретить социальные сети или разрешить доступ только к Вашему сайту и CRM

Как изменится работа в офисе с введением доменной сети?

#12. Добавление пользователей и компьютеров в домен Windows Server 2019.

Доменная сеть требует выполнения правил безопасности и единообразия.

Учетные записи сотрудников уникальны. Учетная запись сотрудника в доменной сети – универсальный пропуск к рабочему пространству компании. При входе в систему пользователь получает доступ к сетевым принтерам, общим файлам, серверу 1С, почте или общему чату.

Пароли сотрудников уникальны и периодически меняются. Никто кроме самого сотрудника не должен знать его пароль. Ответственность за секретность пароля лежит на самом сотруднике, он отвечает за все действия, совершенные с помощью его учетной записи. Это правило упрощает разбирательства внутри компании, например когда были удалены важные данные.

Учетные записи сотрудников не имеют прав администратора на компьютере. Пользователи не могут самостоятельно устанавливать программы и вносить изменения в системные настройки. Благодаря этому пользователь не сможет случайно запустить вирус или удалить настройки принтера. Для установки программ лучше обратиться к системному администратору.

Управление пользователями в доменной сети

Учетные записи в доменной сети создаются только на Контроллере Домена. Контроллер домена сообщает всем компьютерам сети об имеющихся учетных записях сотрудников. Сотрудник Иван может использовать свою учетную запись i.petrov для работы за любым компьютером доменной сети. Файлы других сотрудников на этом компьютере Иван не увидит.

Сделать запрет на запуск программ пользователя домена

Единая точка создания учетных записей помогает избежать беспорядка. На компьютерах нет лишних учетных записей, а права администратора есть только у администраторов доменной сети.

Доменная сеть объединяет все ресурсы компании в единое рабочее пространство. В домен можно ввести хранилище файлов, сервер 1С или сервер для удаленной работы. Войдя в систему своего компьютера, сотрудник автоматически получит доступ к ресурсам сети. Вводить пароль для сервера 1С не придется – сервер уже знаком с учетной записью сотрудника.

Читайте также:
Определение производственной программы предприятия и среднего разряда работ на ее выполнение

Если сотрудник уволится, его учетную запись придется заблокировать только на контроллере домена, все компьютеры узнают об этом запрете моментально.

Безопасность доменной сети

К уязвимым частям информационной структуры доступ имеют только квалифицированные сотрудники. Доступ к важным документам разграничен, обычно ни один сотрудник не может повредить все данные. Разграничение доступа усложняет работу вирусов и снижает вероятность диверсии со стороны сотрудников.

Даже если документы были удалены или повреждены, все действия пользователей записываются в специальный журнал. Найти источник проблемы и избежать её в будущем не составляет труда.

Контроллер домена знает какие компьютеры должны быть в сети. В доменной сети можно установить правило запрещать всю активность «незнакомых» компьютеров или даже оповещать службу безопасности об их появлении.

Автоматизация в доменной сети

Групповые политики — набор настроек операционной системы. Эти настройки определяют отображение элементов Windows – окно входа, панели инструментов. Групповые политики позволяют запретить запуск определенных программ или автоматическую установку программ для новых пользователей. Можно даже запретить работать с внешними накопителями флешками или съемными дисками.

В доменной сети групповыми политиками компьютеров централизованно управляет контроллер домена. Благодаря доменной сети и групповым политикам новый компьютер настроится автоматически: будут установлены все необходимые программы, параметры безопасности, подключены принтеры и папки с общими документами. Сотруднику нужно будет только зайти в систему с помощью своих учетных данных – и можно работать.

А можно без доменной сети?

Использование доменной сети не обязательно, но значительно упрощает администрирование больших или сложных ИТ-инфраструктур. Если Вы хотите, чтобы Ваши компьютеры были настроены единообразно и администрирование было максимально автоматизировано, а безопасность сохранялась на современном уровне – без доменной организации сети Вам не обойтись.

Статью подготовил менеджер отдела проектов Заболотский Андрей.

Хотите получить более подробную консультацию по доменной сети?

  • абонентское обслуживание компьютеров
  • аренда виртуального сервера
  • аренда выделенного сервера
  • ит аутсорсинг
  • обслуживание компьютеров спб
  • услуги системного администратора

Источник: 1spla.ru

Как разрешить пользователям домена устанавливать принтеры

Windows

По умолчанию обычным пользователям домена запрещено устанавливать принтер (точнее, драйверы принтера) на компьютеры домена, и у пользователя должны быть определенные права для их установки. Это правильно с точки зрения безопасности, поскольку установка неправильного или вредоносного (поддельного) драйвера устройства может поставить под угрозу или снизить производительность системы, но это крайне неудобно с точки зрения ИТ-отдела. В конце концов, если пользователям не разрешено устанавливать драйверы принтеров на свои компьютеры, это остается на усмотрение администраторов и ИТ-отдела.

Для того чтобы разрешить пользователям домена устанавливать принтеры, необходимо выполнить следующие шаги:

  1. Откройте групповую политику “Установка и удаление принтеров” (Printing – Point and Print Restrictions) для компьютеров и пользователей, на которых должно быть разрешено устанавливать принтеры.
  2. Настройте параметр “Позволить пользователям устанавливать драйверы принтеров в соответствии с политикой безопасности” (Allow users to install printer drivers as permitted by policy) на “Включено” (Enabled).
  3. Настройте параметр “Добавлять серверы принтеров в список доверенных серверов для установки драйверов и принтеров” (Add servers to the list of trusted servers for downloading print drivers) на “Включено” (Enabled).
  4. Добавьте имя сервера принтеров в список доверенных серверов. Для этого в поле “Список доверенных серверов” (List of trusted servers) введите имя сервера принтеров или его IP-адрес.
  5. Сохраните изменения и закройте групповую политику.
  6. Назначьте созданную групповую политику пользователям или компьютерам.
Читайте также:
В какой программе создать прайс лист для салона красоты

После выполнения указанных выше шагов, пользователи домена смогут устанавливать принтеры на своих компьютерах. Обратите внимание, что для установки принтера пользователь должен иметь права администратора на компьютере, если драйвер принтера не установлен заранее. Если драйвер принтера уже установлен, пользователь может установить принтер без прав администратора.

Если корпоративные ИТ-администраторы все же решат разрешить пользователям устанавливать драйверы принтеров на свои компьютеры без предоставления им прав локального администратора, групповая политика Active Directory может помочь им с этой задачей.

+ zhivye-oboi-windows.ru Не работает рабочий стол на Windows 11 ничего не могу сделать

Следовательно, предполагается, что существует неоднородная сеть и что нам необходимо разрешить пользователям независимо подключать сетевые и локальные принтеры и устанавливать их драйверы на ПК с Windows 7 и Windows XP.

Затем создайте (или отредактируйте существующую политику) и свяжите ее с организационным подразделением (контейнером Active Directory), содержащим компьютеры, на которых требуется политика, позволяющая пользователям устанавливать драйверы принтера (на автономном компьютере можно реализовать ту же политику используя локальную политику).

Откройте Конфигурация компьютера -> Политики -> Параметры Windows -> Параметры безопасности -> Локальные политики -> ветвь групповой политики Параметры безопасности, где вы можете найти Устройства: Запретить пользователям устанавливать драйверы принтера (Устройства: Запретить пользователям устанавливать драйверы принтера) . Активируйте политику и отключите ее применение (значение Disabled).

windows: как использовать групповую политику, чтобы разрешить пользователям устанавливать принтер

Эта политика предполагает, что при подключении сетевого принтера система позволяет пользователю без прав администратора устанавливать драйверы сетевого принтера.

Следующий шаг: вам нужно разрешить пользователю устанавливать локальные принтеры (и их драйверы). В данном случае нас интересует политика Разрешить не администраторам устанавливать драйверы для этих классов установки устройств в разделе: Конфигурация компьютера -> Политики -> Административные шаблоны -> Система -> Установка драйверов.

Включите эту политику, а затем установите типы устройств, которые пользователи могут установить самостоятельно (подробнее о принципах установки драйверов в Windows 7 без прав локального администратора). Нажмите кнопку Показать и в появившемся окне добавьте две строки (идентификаторы классов, соответствующие устройствам типа принтера):

Полный список GUID классов устройств Windows можно найти здесь:
http://msdn.microsoft.com/en-us/library/ff553426%28v=VS.85%29.aspx

Сохраните изменения вашей политики.

Устанавливаем классы устройств, которые пользователи могут установить без прав администратора

Следующий момент касается особенностей UAC при установке сетевого принтера в Windows Vista и Windows 7. Если UAC включен, появляется сообщение с запросом учетных данных администратора, но если UAC отключен, когда пользователь пытается установить принтер, система принимает долго думать и в итоге выдает сообщение об ошибке: «Windows не может подключиться к принтеру. В доступе отказано”.

+ zhivye-oboi-windows.ru 0x80070002 код ошибки в Windows 10: как исправить, 8 способов и причины проблемы

Чтобы решить эту проблему, для политики «Ограничения указания и печати» необходимо установить значение «Отключено». Эта политика находится в разделах «Система» и «Пользователь» групповой политики, и для обеспечения совместимости с предыдущими версиями операционной системы Windows рекомендуется установить оба этих параметра. Обе политики должны быть отключены. Он находится в разделах: Конфигурация компьютера -> Политики -> Административные шаблоны -> Принтеры и конфигурация пользователя -> Политики -> Административные шаблоны -> Панель управления -> Принтеры.

Читайте также:
Рейтинг бесплатных почтовых программ

windows7 point and print ограничение: отключите UAC для правильной установки драйвера принтера

Осталось сохранить изменения и протестировать политики на клиентах (требуется перезагрузка). После перезагрузки и применения групповой политики пользователь сможет самостоятельно устанавливать локальные и сетевые принтеры.

Для повышения стабильности и безопасности системы рекомендуется также включить изоляцию драйвера принтера в Windows 7.

Источник изображения: winitpro.ru

Алексей Игнатьев/ автор статьи

Специалист и эксперт zhivye-oboi-windows.ru — профессиональный консультант, системный администратор.
Опыт работы в этой сфере 7 лет.

Поделись публикацией
Это так же интересно

Использование настроек Windows 7. Использование Центра управления Windows 7. Использование комбинации клавиш на клавиатуре.

Использование настроек Windows 11. Использование Центра управления Windows 11. Использование Панели задач Windows 11.

Способы сделать браузер по умолчанию в Windows 7: “Панель управления” “Интернет-опции” “Редактор реестра” “Групповая

Способы сделать браузер по умолчанию в Windows 11: “Настройки” Windows “Панель управления” “Ассистент по

Для сделать вход в Windows 7 без пароля можно выполнить следующие действия: Откройте “Панель

Как сделать вход без пароля Windows 11: Откройте “Панель управления” и выберите “Учетные записи

С помощью встроенной программы “Дисковый образ” С помощью утилиты “Daemon Tools” С помощью программы

С помощью встроенной в Windows 11 программы “Дисковый образ”. С помощью встроенного в Windows

С помощью команды “regedit” в меню “Пуск” Через окно “Выполнить” и команду “regedit” Через

Использование комбинации клавиш Win + R, ввод команды “regedit” и нажатие Enter Использование меню

С помощью комбинации клавиш Win + R и вводом команды “regedit”. Через поиск в

Как включить и настроить Родительский контроль Windows 7: Откройте Панель управления и выберите “Учетные

Источник: zhivye-oboi-windows.ru

Как мне управлять Active Directory для установки программ?

Я установил DC в Windows Server 2008, и у меня есть XP и 7 клиентов, подключенных к домену. Как вы знаете, мы должны устанавливать программы на компьютеры, а пользователи домена по умолчанию ограничены и не могут устанавливать программы. И я доволен этим (что они не могут устанавливать программы).

Но время от времени мне приходится устанавливать программы на компьютеры, и я не хочу устанавливать программы с активным каталогом GPO и распространением .msi пакеты.

1. Если вы хотите установить программу на компьютер клиента, что вы делаете? Вы входите в систему с учетной записью домена, которая имеет возможность устанавливать программы? или вы входите в систему с учетной записью локального администратора?

2.Как я могу разрешить пользователю домена устанавливать обновления Windows? (по умолчанию пользователи домена не могут устанавливать обновления Windows)

3. Что делать, если вы хотите установить принтер на компьютер с ограниченными правами? Входите ли вы локальным администратором или пользователем привилегированного домена, чтобы установить принтер для пользователя с ограничениями?

4. Можете ли вы немного рассказать о вашем опыте управления Доменом на вашем рабочем месте? Я знаю много вещей о контроллерах домена и Active Directory, но у меня нет никакого опыта в этом. And now I have to manage a network.

John Smith 01 окт ’13 в 23:11 2013-10-01 23:11
2013-10-01 23:11

1 ответ

Вероятно, это больше относится к теме ServerFault.com, вопросы являются открытыми, и это больше, чем один вопрос, но они короткие и простые, поэтому я попытаюсь в этом разобраться.:)

Источник: usersuper.ru

Рейтинг
( Пока оценок нет )
Комментарии0
Загрузка ...
Похожие материалы
EFT-Soft.ru