1、在域中新建一个域账户比如setup设置密码永不过期用户不能更改密码,添加到域管理员组中。
2、修改域组策略计算机配置-windows设置---安全设置---本地策略---用户权限分配-找到 拒绝本地登陆 这个策略:启用这个策略 将新建的用户如setup添加到里面。
3、域用户要安装软件的时候:右键点击需要安装的软件选择:ruan as (即 运行方式)
选择 下列用户:输入 新建的用户名密码 (如 域名\setup)安装即可。
回答:根据您的描述,我对这个问题的理解是:您需要让普通域用户可以在域中的客户机上有安装软件的权限。普通用户之所以不能安装软件,一般是缺少对注册表的修改权限以及对安装目标文件夹的修改权限。只有少数组成员拥有该权限,如本地管理员组和Power User组的成员,有的软件必须要本地管理员组的成员才能安装。
所以,最直接的办法是将域用户帐号加到客户机的本地管理员组或者是Power Users组,绝大多数用户会这样去做,也是推荐的方法。
如果此方法不符合客户的安全规定,也有相对复杂一些的做法,极少数用户会用到:
1.记录安装这些软件之前的注册表和文件夹状态您看到的文章来自活动目录
2.管理员安装这些软件
3.完成后,确定这些软件会修改哪些注册表键值和文件夹。
4.然后在每个注册表键值和文件夹上赋予普通用户相应的权限
……
除此之外,对于某些软件:
可以将软件使用组策略分发给计算机自动安装,用户不必手动安装,但仅限于某些软件,需要经过测试才能使用此方法。这里是分发.msi格式安装文件的一个参考:
还有很多方法,但都需要根据要安装的软件和客户的策略是否允许。
您的思路是可行的,但需要进行一些补充。因为让每个用户都知道域管理员的密码是极不安全的做法,即使您拒绝本地登录。(就安全性而言, 将域用户加到他的工作机的本地管理员组会更好。)
如果希望使用run as的方法,建议编写管理员安装的run as登录脚本,然后使用script encoder对脚本进行编码加密
如何使用run as请参考:http://support.microsoft.com/?id=294676
下载并使用Script Encoder请参考:
http://www.microsoft.com/downloads/details.aspx?FamilyId=E7877F67-C447-4873-B1B0-21F0626A6329&displaylang=en
本文转自legendfu51CTO博客,原文链接: http://blog.51cto.com/legendfu/1072334,如需转载请自行联系原作者
