Active Directory: установка программ пользователями

@sasiska · Регистрация: 16.05.2011

Студворк — интернет-сервис помощи студентам

Здравствуйте, очень интересует один вопрос:
Надо разрешить некоторым пользователям установку программ с правами администратора, дело в том, что
Есть политика: в пользователях и в компьютерах - Адм. шбалоны -> Установщик windows -> "всегда устанавливать с повышенными правами", она работает только для пакетов msi
С другой стороны можно решить вопрос добавив этих пользователе в группу (конф. пк -> настройки -> параметры панели управления -> локальные пользователи и группы :
есть локальная группа windows "опытные пользователи", но она разрешает устанавливать только те программы, которые не влияют на реестр и файловыую систему
Есть группа локальных администраторов, которая отвечает поставленной задачи, но при этом даёт в остальном слишком большую свободу, а что самое главное, даёт право выводить ПК из домена.
Так вот вопрос: Как решить подобную ситуацию, что бы пользователь мог ставить программы с правами администратора, но при этом не мог бы изменять остальные настройки, например, параметры сетевой карты, или вывод ПК из домена.
Очень жду вашего мудрого совета, и очень прошу не писать, что нельзя давать даже некоторым пользователям прав на установку, дело в том, что сейчас это нужно сделать именно так.

@Lutk · 09.09.2016, 16:48

В чем разница между "программа поменяет настройки через реестр" и "пользователь поменяет настройки через реестр"? И для того и для другого нужны админские права и только.
Нельзя давать даже некоторым пользователям прав на установку.

@Vanish · 09.09.2016, 16:55

Здравствуйте, очень интересует один вопрос:
Надо разрешить некоторым пользователям установку программ с правами администратора, дело в том, что
Есть политика: в пользователях и в компьютерах - Адм. шбалоны -> Установщик windows -> "всегда устанавливать с повышенными правами", она работает только для пакетов msi
С другой стороны можно решить вопрос добавив этих пользователе в группу (конф. пк -> настройки -> параметры панели управления -> локальные пользователи и группы :
есть локальная группа windows "опытные пользователи", но она разрешает устанавливать только те программы, которые не влияют на реестр и файловыую систему
Есть группа локальных администраторов, которая отвечает поставленной задачи, но при этом даёт в остальном слишком большую свободу, а что самое главное, даёт право выводить ПК из домена.
Так вот вопрос: Как решить подобную ситуацию, что бы пользователь мог ставить программы с правами администратора, но при этом не мог бы изменять остальные настройки, например, параметры сетевой карты, или вывод ПК из домена.
Очень жду вашего мудрого совета, и очень прошу не писать, что нельзя давать даже некоторым пользователям прав на установку, дело в том, что сейчас это нужно сделать именно так.

Добрый день,

Лучше всего вам подойдет вариант помещения пользователей в группу локальных администраторов на их компах.
При попытке вывода из домена у вас потребует пароль администратора ДОМЕНА, причем тут локадмин?
Насчет параметров сетевой карты - сделайте так чтобы пакеты отбрасывались если у мака ip не тот что задан. Или просто копайте в сторону смены IP на заданный при каждом логине пользователя.

magirus · 09.09.2016, 17:02

Сообщение от Vanish

При попытке вывода из домена у вас потребует пароль администратора ДОМЕНА

Да? а у меня не требовал... я видимо как то не по правилам делал.

@sys.tim · 21.09.2016, 22:37

1. msi-пакеты прекрасно накатываются посредством групповых политик
2. по поводу смены ip и вывода ПК из домена. вопрос прекрасно решается административно: ставите, во-первых, получение ip по dhcp, делаете резервацию по mac. а потом подозреваемых можно в оснастке dns отследить, менялся ip или нет. При чем тут "административно"? Потому что при обнаружении злоупотребения правами, пишется служебка начальнику нарушителя. А уж если ПК из домена выведен, то обратное присоединение исключительно по служебку начальнику от нарушителя

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

@sasiska 1 / 1 / 0 Регистрация: 16.05.2011 Сообщений: 25

	Active Directory: установка программ пользователями 08.09.2016, 10:34. Показов 18399. Ответов 4 Метки нет (Все метки) Здравствуйте, очень интересует один вопрос: Надо разрешить некоторым пользователям установку программ с правами администратора, дело в том, что Есть политика: в пользователях и в компьютерах - Адм. шбалоны -> Установщик windows -> "всегда устанавливать с повышенными правами", она работает только для пакетов msi С другой стороны можно решить вопрос добавив этих пользователе в группу (конф. пк -> настройки -> параметры панели управления -> локальные пользователи и группы : есть локальная группа windows "опытные пользователи", но она разрешает устанавливать только те программы, которые не влияют на реестр и файловыую систему Есть группа локальных администраторов, которая отвечает поставленной задачи, но при этом даёт в остальном слишком большую свободу, а что самое главное, даёт право выводить ПК из домена. Так вот вопрос: Как решить подобную ситуацию, что бы пользователь мог ставить программы с правами администратора, но при этом не мог бы изменять остальные настройки, например, параметры сетевой карты, или вывод ПК из домена. Очень жду вашего мудрого совета, и очень прошу не писать, что нельзя давать даже некоторым пользователям прав на установку, дело в том, что сейчас это нужно сделать именно так. 0

@Lutk 71 / 66 / 29 Регистрация: 28.10.2013 Сообщений: 248
	09.09.2016, 16:48
	В чем разница между "программа поменяет настройки через реестр" и "пользователь поменяет настройки через реестр"? И для того и для другого нужны админские права и только. Нельзя давать даже некоторым пользователям прав на установку. 0

@sys.tim 490 / 89 / 18 Регистрация: 01.12.2009 Сообщений: 370 Записей в блоге: 1
	21.09.2016, 22:37
	1. msi-пакеты прекрасно накатываются посредством групповых политик 2. по поводу смены ip и вывода ПК из домена. вопрос прекрасно решается административно: ставите, во-первых, получение ip по dhcp, делаете резервацию по mac. а потом подозреваемых можно в оснастке dns отследить, менялся ip или нет. При чем тут "административно"? Потому что при обнаружении злоупотребения правами, пишется служебка начальнику нарушителя. А уж если ПК из домена выведен, то обратное присоединение исключительно по служебку начальнику от нарушителя 0