В данном посте буду собирать ссылки на софт, который удалось заставить устанавливаться или обновляться через GPO Active Directory. Админ, однако, очень не любит ручной труд, который можно автоматизировать, особенно если он однообразен и нуден…
Очень часто выходят обновления для таких компонентов, как Adobe Flash, которые являются потенциальной дырой в браузерах пользователей. Заставить устанавливать такой компонент – пользователя равносильно тому, что совсем его не обновлять. К тому же, необходимы права администратора для данного действия, а пользователь работающий под админом в сети предприятия – это зло, которое так и пытается положить вашу сеть при очередной посещении зловредных ресурсов. И Adobe Flash – это не единственный пример. Посему мы упростим работу себе и обеспечим актуальное состояние софта на рабочих станциях в сети.
Кратко расскажу о установке программ средствами групповых политик Active Directory, назначение пакетов MSI компьютерам (assigning to computer) (взято отсюда):
Задание:
скопируйте к себе на компьютер файл Microsoft Installer (MSI) программного обеспечения Wininstaller. Поместите этот файл в каталог C:Distrib на своем компьютере и расшарьте его как \имя_вашего_компьютераDistrib$;
создайте групповую политику WinInstaller, которая бы устанавливала программное обеспечение Wininstaller на все компьютеры вашего домена в режиме назначения для компьютера и произведите установку при помощи этой групповой политики на свой компьютер.
Решение:
После создания общего каталога и копирования откройте Group Policy Management Console, щелкните правой кнопкой мыши по узлу вашего домена и в контекстном меню выберите Create and Link a GPO here. Присвойте создаваемое групповой политике название Wininstaller.
Щелкните правой кнопкой мыши по объекту созданной групповой политики и в контекстном меню выберите Edit. В окне Group Policy Object Editor раскройте узел Computer Configuration -> Software Settings -> Software installation, щелкните правой кнопкой мыши по узлу Software Installation и в контекстном меню выберите New -> Package.
В окне Open введите путь к пакету MSI: \имя_вашего_компьютераDistrib$SWIADMLE.MSI и нажмите Open.
В окне Deploy Software установите переключатель в положение Advanced и нажмите OK.
В окне WinInstall Properties просмотрите все вкладки и нажмите OK. Закройте окна Group Policy Object Editor и Group Policy Management Console с сохранением внесенных изменений и перезагрузите компьютер. В процессе запуска обратите внимание на строку Installing Managed Software WinInstall, которая появится после строки Applying Computer Settings.
После окончания перезагрузки обратите внимание, что в меню Programs появилась новая группа программ.
Если есть желание углубиться в познание AD и GPO, можно ознакомиться с курсом: http://www.intuit.ru/department/os/sysadmswin/, или http://www.intuit.ru/goto/course/netmsserver2003/
Ну что ж, начнем с добычу пакетов MSI:
7-Zip – http://www.7-zip.org/download.html (так же, для пользователя применил скрипт Ассоциации файлов и локализация 7-zip)
Adobe Flash Player – http://www.adobe.com/products/flashplayer/fp_distribution3.html (по ссылке и Flash Plugin и ActiveX)
Adobe Reader – ftp://ftp.adobe.com/pub/adobe/reader/win/10.x/ (обновления версий в подкаталогах) наложение обновлений Reader:
> mkdir C:TempAdobeReader
> cd C:TempAdobeReader
> msiexec /a AdbeRdr1000_ru_RU.msi TARGETDIR=c:TempAdobeReaderUpdated
> msiexec /a c:TempAdobeUpdatedAdbeRdr1000_ru_RU.msi /p C:TempAdobeReaderAdbeRdrUpd1001_Tier4.msp
Google Chrome – https://www.google.com/intl/en/chrome/business/
JAVA – http://www.java.com/ru/download/ (после распаковки инсталлера, msi в C:Users\AppDataLocalLowSun, инструкшн: http://www.java.com/ru/download/help/msi_install.xml)
Mozilla Firefox – http://frontmotion.com/FMFirefoxCE/download_fmfirefoxce.htm
OpenOffice – http://www.i-rs.ru/download или http://ru.openoffice.org/ (после распаковки установщика – готовый MSI)
Opera – http://ftp.opera.com/pub/opera/win/ (в каталоге _версия_/autoupdate лежит MSI)
Paint.NET – exe берем отсюда: http://paintnet.ru/download/, MSI создаем по инструкции: http://paint-dot-net.narod.ru/help_ru/p5_Install.htm:
> mkdir C:TempPaintNET
> cd C:TempPaintNET
> C:TempPaintNETPaintNET.exe /createMsi CHECKFORUPDATES=0
> забираем готовые MSI с рабочего стола
ДубльГИС – http://volgograd.2gis.ru/how-get/download/ (мануал http://help.2gis.ru/pc/full/install/corporative/)
Источник: sscorpio.ru
Как позволить устанавливать программы пользователю в Active Directory?
Я не очень понимаю почему так нельзя? Как повысить пользователя до админа, но так чтобы он на сервере ничего не мог делать ?
А то есть программисты которым надо больше свободы дать на локальном компьютере, как это делается подскажите?
- Вопрос задан более трёх лет назад
- 2533 просмотра
Комментировать
Решения вопроса 1
Открываете локальных пользователей, там добавляете доменную учётку в локальных админов.
Всё.
Можете погуглить «добавить доменного пользователя в локальные админы» и найти что-ьто с картинками и стрелочками.
Ответ написан более трёх лет назад
Нравится 3 1 комментарий
Попробую, надеюсь получится. Спасибо большое
Ответы на вопрос 4
В локальных политиках безопасности возможна более гибкая настройка прав пользователей. Существуют еще шаблоны безопасности.
Вопрос в том насколько высоки требования к безопасности в организации.
Т.е давать админские права на локальной машине, это в принципе значит что машина подвержена заражению вирусами под этим пользователем.
Ответ написан более трёх лет назад
Нравится 2 3 комментария
да я понимаю, но работаю опытные пользователи и программисты, им бы хотелось давать доступ к установке всего чего захотят, но при этом чтобы не было у них доступа на сервер, а только локальная машина. Что скажете? Как обычно с таким делается?
В идеале, чтобы он просто мог устанавливать и работать с программами которые нужные админские права. И даже если сменит компьютер права сохранились и на этой машине
Vi: вообще обычно создается группа в АД, эта группа добавляется политиками в локальные админы на всех машинах в домене. Но тут важно понимать что все пользователи добавленные в эту группу будут иметь доступ ко всем раб станциям, это круто когда надо дать доступ отделу техпо, когда им это действительно надо.
Поиграйтесь с групповыми политиками: Конфигурация пользователя — Политики — административные шаблоны — комппоненты Win — Установщик.
Распространяйте программы через установку/удаление ПО. Не помню точно, но туда можно накидать софта для установки, проверенное вами. Пользователь будет просто заходить туда и ставить. В сети есть бесплатный курс от Сергея Шейна по администрированию.
Про мысли:
Когда пользователь Админ на локальной машине, он может делать что захочет. Мимикатом сдампить ваш пароль если вы подключались к нему. Будучи пользователем включить логирование нажатых клавиш в ПунтоСвитчере и попросить что то сделать на своем ПК человека с более высокими правами. Если доступно, считает всех пользователей домена через PowerShell, и начнет брутить потихоньку им же.
Ответ написан более трёх лет назад
Нравится 1 4 комментария
Спасибо за совет, по поводу установки по, то я создал в политиках пакет с программами, и по вай фаю уже начальная загрузка занимает больше полу-часа. Но все равно совет отличный.
Источник: qna.habr.com
Как разрешить пользователю устанавливать программы
Пользователи некоторых учетных записей обладают ограниченными правами доступа к выполнению различных операций на компьютере, также это относится и к меню установки и удаления программ.
Статьи по теме:
- Как разрешить пользователю устанавливать программы
- Как запретить пользователю установку программ
- Как разрешить установку
Вам понадобится
- — учетная запись с правами администратора.
Инструкция
Зайдите в операционную систему с учетной записи, обладающей правами администратора. Откройте в меню «Пуск» утилиту «Выполнить» и впишите в строку gpedit.msc, нажмите Enter. В появившемся окне конфигурации пользователей выберите меню с названием «Административные шаблоны», после чего перейдите к компонентам.
В консоли управления выберите настройку «Запрещенные или разрешенные оснастки», затем найдите параметры групповой политики. В расширении оснастки укажите напротив каждой позиции параметр «Не задано». После того, как вы выставите настройки по умолчанию, установка программ будет доступна и пользователям ограниченных учетных записей.
Переведите учетную запись в администраторы, однако, после этого помимо установки и удаления программ пользователю будут доступны и другие операции. Для этого откройте «Панель управления» и зайдите в меню «Учетные записи пользователей». Выделите нужную вам при помощи мыши и в меню выберите изменение учетной записи.
После этого нажмите кнопку «Сделать администратором компьютера». Сохраните изменения и перезайдите в систему, проверьте, появилась ли для данного пользователя компьютера функция установки и удаления программ и остальные функции.
Если вы хотите настроить параметры безопасности вашего компьютера особым образом, почитайте статьи на данную тему, например, вот эту: http://stfw.ru/page.php?id=8718. Задавая определенную конфигурацию для того или иного пользователя операционной системы, помните, что в некоторых случаях настройку будет невозможно изменить не меняя тип учетной записи. Поэтому если вы, например, создаете учетную запись с ограниченными правами для детей, хорошо продумайте каждую составляющую настроек, которая может понадобиться в дальнейшем.
Полезный совет
Ставьте пароль на учетные записи администратора.
Совет полезен?
Статьи по теме:
- Как запретить устанавливать программы
- Как установить программу, если она заблокирована
- Как назначить права доступа
Добавить комментарий к статье
Похожие советы
- Как поставить пароль на установку программ
- Как отключить установку программ
- Как установить права администратора
- Как запретить пользователям устанавливать программы
- Как настроить локальную политику безопасности
- Как установить удаленно программу
- Как установить права на запись
- Как заблокировать установку программ
- Как разрешить загрузку
- Как ограничить права учетной записи
- Как запретить установку по
- Как снять ограничение на запуск программ
- Как устанавливать программы на компьютере
- Как изменить права доступа
- Как изменить групповую политику
- Как запустить групповую политику
- Как установить права администратора на компьютер
- Как включить права администратора
- Как устанавливать атрибуты
- Как настроить учетную запись гостя
- Как установить флеш-плеер, если нет прав администратора
- Как ограничить пользователя в правах доступа
- Как ограничить учетную запись
- Как запретить установку программ
Источник: www.kakprosto.ru