Меню Рубрики

Установка программ только администратор домена

Установка программ только администратор домена

Вопрос

Все пользователи в домене входят в группу пользователи домена. 2-3-м пользователям переодически необходимо устанавливать программы (где-то 1 раз в месяц) на 3-4 компьютерах. Каким простым образом можно давать им это право на 2-3 дня а потом отбирать? Можно создать отдельную учетку с правами админа, но давать парва адина даже на время нет желания. Добавлять этого пользователя на каждом компьютере в группу Опытных пользователей или Администраторов, тоже нет желания.

Ответы

Можно создать группу в AD. Дать ей необходимые права на компьютерах пользователей и при необходимости включать\исключать из неё пользователей. Также можно попробовать распространять ПО при помощи групповых политик (это более трудоемкий вариант, но зато более контролируемый).

Я бы создал дополнительную учетную запись в Active Directory LocalInstallUser , череp GPO Restricted Groups включил бы этого пользователя в нужные локальные группы на необходимых компьютерах.

С войствах учетной записи можно можно задавать жизнь учетной записи (Вкладка Account ) Account Expire. Тут можно будет задавать время работы учетной записи.

Дать пользователям скрипты для установки программ:
к примеру: install.bat
runas /user:Domain_name\LocalInstallUser «setup.exe»

Научил бы пользователей запускать вместо привычного Setup.exe , необходимость запускать Install.bat
Он затребует пароль на новую учетку и запустит установку от его имени.

Но по мне гораздо проще будет публиковать приложения через GPO. Тогда пользователи , с обычными правами смогут устанавливать приложения. ТУТ

Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос 🙂

Все ответы

Можно создать группу в AD. Дать ей необходимые права на компьютерах пользователей и при необходимости включать\исключать из неё пользователей. Также можно попробовать распространять ПО при помощи групповых политик (это более трудоемкий вариант, но зато более контролируемый).

Я бы создал дополнительную учетную запись в Active Directory LocalInstallUser , череp GPO Restricted Groups включил бы этого пользователя в нужные локальные группы на необходимых компьютерах.

С войствах учетной записи можно можно задавать жизнь учетной записи (Вкладка Account ) Account Expire. Тут можно будет задавать время работы учетной записи.

Дать пользователям скрипты для установки программ:
к примеру: install.bat
runas /user:Domain_name\LocalInstallUser «setup.exe»

Научил бы пользователей запускать вместо привычного Setup.exe , необходимость запускать Install.bat
Он затребует пароль на новую учетку и запустит установку от его имени.

Но по мне гораздо проще будет публиковать приложения через GPO. Тогда пользователи , с обычными правами смогут устанавливать приложения. ТУТ

Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос 🙂

Есть два типа:

  1. Полностью замещает в членов в группе
  2. Добавляет новых членов в группу

Для управления:

  1. Идем в GPO — Computer Configuration — Polices — Security Settings — Restricted Groups
  2. Добавлям новую группу и выбираем ту AD группу или пользователя, которую нам нем добавить в локальную группу. Т.е. к выбираем к примеру G_LocalSubAdmin .
  3. В свойствах есть два типа
  • Members of this group — Замещает всех членов в выбранной группе
  • This group is member of — Только добавляет, никого не трогая из уже присутствующих. Именно сюда мы добавляем нужную нам группу например локальных администраторов, имеющих SID S-1-5-32-544.

Возможно поможет использование Well-Known SID для добавления пользователей

Таким образом мы добавили глобальную группу G_LocalSubAdmin в члены локальной группы администраторов на ПК, на которых применится данная политика. Теперь в группу G_LocalSubAdmin можно добавлять необходимых сотрудников, что даст им права локальных администраторов на нужных ПК. В вашем случае вместо группы будет пользователь, которому вы делегируете необходимые права. А в свойствах этого пользователя ограничиваете срок действия учетной записи. Если сообщение было информативным, отметьте его как правильный ответ. Сразу видно ответ на вопрос 🙂

Читайте также:  Установки для прокалывания грунта

источник

Запуск программы требующий права администратора под учетной записью обычного пользователя

В любом предприятии, в котором компьютеры/программное обеспечение обслуживают адекватные люди, обычные пользователи компьютеров не имеют никаких админских прав за ними, что значительно снижает риск удаления важных файлов системы, установку непонятного программного обеспечения и прочих чудес. Однако, некоторые программы упорно не желают работать без прав администратора — и что же делать, если желания давать права администратора компьютера пользователю нет, а необходимость запустить приложение — есть?

Выдача прав на директорию с программой

Часто, права администратора требуются программе для проведения каких-либо операций с файлами в своей папке — например некой Programm‘e нужно записывать данные в свой файл конфигурации в папку, куда она установлена (допустим этот каталог «C:\Program Files (x86)\Programma«). Можно попробовать выдать нужным пользователям полные права на эту папку. Делается это следующим образом:

  1. Правой кнопкой нажимаете на папке, открываете Свойства
  2. В Свойствах нужно открыть вкладку Безопасность.
  3. В зависимости от настроек компьютера там может отображаться либо «Добавить«, либо «Изменить«. В первом случае нужно нажать кнопку «Добавить«, во втором — «Изменить«, после чего скорее всего потребуется ввести данные учетной записи администратора. После этого появится окно с кнопкой «Добавить«, которую и нужно будет нажать.
  4. После нажатия кнопки «Добавить» добавляем всех нужных пользователей. Для проверки правильность ввода имени пользователя можно воспользоваться кнопкой «Проверить имена«.
  5. Затем выдаем полные права добавленному пользователю — для этого нужно поставить галочку в поле «Разрешения для. «, пункт «Полные права«.

Запуск программы под учетной записью админстратора с учетной записи обычного пользователя

Для этой цели сгодится программа RunAs, которая идет в составе Windows. Для удобства её использования проще всего будет создать cmd файл, в который следует поместить следующее:

Вместо Домена пользователя и Пользователя вводим данные учетной записи пользователя, который обладает правами администратора в домене, или на компьютере (в таком случае, вместо Домена пользователя следует писать имя компьютера). Вместо Путь к программе соответственно пишем путь к нужному exe файлу.

Сохраняем этот файл, и запускаем. Если все прошло верно, то при первом запуске bat файла, будет запрошен пароль для указанного пользователя, однако уже при повторном запуске никакого запроса пароля не потребуется — для этого используется параметр /SAVECRED. Однако, в таком случае, программа будет запущена не от имени пользователя, который запустил данный файл, а от имени пользователя, чьи данные были указаны параметром /user, что является весьма сомнительным методом, с точки зрения безопасности.

источник

Как запускать программы, требующие права администратора, под учетной записью обычного пользователя

Многие программы при запуске требуют повышения прав (значок щита у иконки), однако на самом деле для их нормальной работы прав администратора не требуется (например, вы вручную предоставили необходимые права пользователям на каталог программы в ProgramFiles и ветки реестра, которые используются программой). Соответственно, при запуске такой программы из-под простого пользователя, если на компьютере включен контроль учетных записей, появится запрос UAC и от пользователя потребует ввести пароль администратора. Чтобы обойти этот механизм многие просто отключают UAC или предоставляют пользователю права администратора на компьютере, добавляя его в группу локальных администраторов. Естественно, оба этих способа небезопасны.

Зачем обычному приложению могут понадобится права администратора

Права администратора могут потребоваться программе для модификации неких файлов (логи, конфигурации и т.д.) в собственной папке в C:\Program Files (x86)\SomeApp). По умолчанию у пользователей нет прав на редактирование данного каталога, соответственно, для нормальной работы такой программы нужны права администратора. Чтобы решить эту проблему, нужно под администратором на уровне NTFS вручную назначить на папку с программой право на изменение/запись для пользователя (или группы Users).

Читайте также:  Установка поршней на шатуны опель

Примечание . На самом деле практика хранения изменяющихся данных приложения в собственном каталоге в C:\Program Files неверна. Правильнее хранить данные приложения в профиле пользователя. Но это вопрос уже о лени и некомпетентности разработчиков.

Запуск программы, требующей права администратора от обычного пользователя

Ранее мы уже описывали, как можно отключить запрос UAC для конкретной программы , с помощью параметра RunAsInvoker. Однако этот метод недостаточно гибкий. Также можно воспользоваться RunAs с сохранением пароля админа /SAVECRED (также небезопасно). Рассмотрим более простой способ принудительного запуска любой программы без прав администратора (и без ввода пароля админа) при включенном UAC (4,3 или 2 уровень ползунка UAC ).

Для примера возьмем утилиту редактирования реестра — regedit.exe (она находится в каталоге C:\windows\system32). При запуске regedit.exe появляется окно UAC и, если не подтвердить повышение привилегии, редактор реестра не запускается.

Создадим на рабочем столе файл run-as-non-admin.bat со следующим текстом:

cmd /min /C «set __COMPAT_LAYER=RUNASINVOKER && start «» %1″

Теперь для принудительного запуска приложения без права администратора и подавления запроса UAC, просто перетащите нужный exe файл на этот bat файл на рабочем столе.

После этого редактор реестра должен запустится без появления запроса UAC. Открыв диспетчер процессов, и добавим столбец Elevated (С более высоким уровнем разрешений), вы увидите, что в системе имеется процесс regedit.exe с неповышенным статусом (запущен с правами пользователя).

Попробуйте отредактировать любой параметр в ветке HKLM. Как вы видите доступ на редактирование реестра в этой ветке запрещен (у данного пользователя нет прав на запись в системные ветки реестра). Но вы можете добавлять и редактировать ключи в собственной ветке реестра пользователя — HKCU.

Аналогичным образом можно запускать через bat файл и конкретное приложение, достаточно указать путь к исполняемому файлу.

Set ApplicationPath=»C:\Program Files\MyApp\testapp.exe»
cmd /min /C «set __COMPAT_LAYER=RUNASINVOKER && start «» %ApplicationPath%»

Также можно добавить контекстное меню, которое добавляет у всех приложений возможность запуска без повышения прав. Для этого создайте следующий reg файл и импортируйте его в реестр.

Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\*\shell\forcerunasinvoker]@=»Run as user without UAC elevation»
[HKEY_CLASSES_ROOT\*\shell\forcerunasinvoker\command]@=»cmd /min /C \»set __COMPAT_LAYER=RUNASINVOKER && start \»\» \»%1\»\»»

После этого для запуска любого приложения без прав админа достаточно выбрать пункт « Run as user without UAC elevation » в контекстном меню.

Переменная окружения __COMPAT_LAYER и параметр RunAsInvoker

Переменная окружения __COMPAT_LAYER позволяет устанавливать различные уровни совместимости для приложений (вкладка Совместимость в свойствах exe файла). С помощью этой переменной можно указать настройки совместимости, с которыми нужно запускать программу. Например, для запуска приложения в режиме совместимости с Windows 7 и разрешением 640×480, установите:

set __COMPAT_LAYER=Win7RTM 640×480

Из интересных нам опций переменной __COMPAT_LAYER выделим следующие параметры:

  • RunAsInvoker — запуск приложения с привилегиями родительского процесса без запроса UAC.
  • RunAsHighest — запуск приложения с максимальными правами, доступными пользователю (запрос UAC появляется если у пользователя есть права администратора).
  • RunAsAdmin — запуск приложение с правами администратора (запрос AUC появляется всегда).

Т.е. параметр RunAsInvoker не предоставляет права администратора, а только блокирует появления окна UAC.

источник

Установка программ только администратор домена

Junior Member Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Надо наверное простого пользователя поместить в локальные администраторы.
Но как это сделать GP не знаю.
ИМХО никак!

Или у народа иное мнение? Всего записей: 86 | Зарегистр. 07-07-2004 | Отправлено: 17:30 14-07-2004

mikas

Advanced Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору да есть там параметры установки программ под правами др. юзера. Что-то такое в GPO я видел.

———-
С Уважением, mikas.
Всего записей: 1007 | Зарегистр. 27-08-2003 | Отправлено: 07:05 15-07-2004
Sergey Sosnovsky

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Да, действительно есть.
Конф. польз. — адм.шабл. —комп.Win — Установщик — Всегда производить установку с повышенными полномочиями

Цитата:

Требует от установщика Windows, чтобы он использовал системные разрешения при установке любой программы на этой системе

Эта политика распространяет повышенные привилегии на все программы. Эти привилегии обычно зарезервированы для программ, которые были назначены этому пользователю (предложены на рабочем столе), назначены этому компьютеру (установлены автоматически), или были сделаны доступными в окне «Установка и удаление программ» панели управления. Эта политика позволяет пользователям устанавливать программы, которые требуют доступа к папкам, которые пользователь не может просматривать или изменять, включая папки на компьютерах с высоким уровнем ограничений.

Если эта политика отключена или не задана, система применяет разрешения текущего пользователя при установке программ, не распространяемых или назначаемых системным администратором.

Замечание: эта политика появляется как в папке «Конфигурация компьютера», так и папке «Конфигурация пользователя». Чтобы эта политика вступила в силу, следует включить ее в обеих папках.

Осторожно: умелые пользователи могут воспользоваться разрешениями, предоставляемыми этой политикой, для изменения своих привилегий и получить постоянный доступ к защищенным файлам и папкам с ограниченным доступом. Учтите, что версия этой политики для конфигурации пользователя не может гарантировать безопасности.

Всего записей: 86 | Зарегистр. 07-07-2004 | Отправлено: 11:20 15-07-2004
SculptorR

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору День добрый,

надеюсь, кто-нибудь может дать доп. пояснения.

Домен 2003, пользователь ХП.

Нужна дать пользователю права на свободную инсталяцию.

Always install with . включен и на комп и на пользоваетеля (политику обновлял)
Пользователь добавлен в локальные админы (как альтернативная попытка)

При инсталяции, пользователь все равно не имеет доступа на запись в папке ПрограмФайлс.

Поможите пожалуйста решить эту проблему.

Всего записей: 52 | Зарегистр. 06-06-2009 | Отправлено: 11:10 02-09-2009 | Исправлено: SculptorR, 12:20 02-09-2009
Sje

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору А дать права доступа на эту папку?
Всего записей: 57 | Зарегистр. 28-12-2007 | Отправлено: 13:38 02-09-2009
SculptorR

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Тогда надо давать права на все папки . вдруг пользователь (который является начальником) захочит проинсталировать в другой директории.

Да и дело как раз в том, что не хочется давать права на папку, пользователь сам то косячить не начнет, но все же не есть безопастно иметь такой аккаунт.

Опять же, насколько я понимаю, групповая политика именно должна ДАВАТЬ доступ при ИНСТАЛЯЦИИ. Я не могу понять, почему доступа нет.

Всего записей: 52 | Зарегистр. 06-06-2009 | Отправлено: 13:49 02-09-2009
Sje

Junior Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору cisco security agent — грозно, но дорого.
Всего записей: 57 | Зарегистр. 28-12-2007 | Отправлено: 14:55 02-09-2009
MrPhil

Newbie

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Ситуация наподобие:
AD w2k8 r2 x64
нужно 3м учеткам дать права на установку любых программ.

Пробовал методом Sergey Sosnovsky:
Конф. польз. — адм.шабл. —комп.Win — Установщик — Всегда производить установку с повышенными полномочиями

эту политику положил в ОУ, где лежат эти 3 пользователя, gpupdate -> не могут устанавливать, говорит нужны административные права

в этот же ОУ положил пару компов, gpupdate -> не могут устанавливать, говорит нужны административные права

отредактировал политику добавил в ветке Конф.комп. — адм.шабл. —комп.Win — Установщик — Всегда производить установку с повышенными полномочиями -> не могут устанавливать, говорит нужны административные права

источник

Добавить комментарий

Adblock
detector