Временно стать локадмином для установки.
 

Есть сеть w2003standart DC. Есть юзеры с XPprof. Среди них есть опытные юзеры, которым необходимо устанавливать программы иногда. НО 95 процентов времени даже им нет необходимости быть локадминами. Очевидно, что обычным пользователем работать безопаснее - и сам случайно не удалишь чего-нибудь важного и в случае какого-нибудь вируса нового вероятность повредить систему заметно ниже. Как сделать так чтобы можно было не завершая сеанса и не теряя авторизации в DC стать временно локадмином, установить программу, а затем поять стать рядовым пользователем? Дело в том, что даже если от имени локадмина компа добавить доменного пользователя в группу локадминов, то подействует это только после завершения сеанса и входа в сеть. Вобщем подскажите, пожалуйста, или ткните носом что читать. Поиском пользовался, но не нашел.

Дмитрий.

Как вариант - создать пользователя, который будет входит в группу админов на локальных компах(ну или Domain admins :) ) - через групповую политику - restricted groups, и дать имя пароль пользователям. Запускать установку программ через Shift+правая кнопка мыши - запуск от имени. Вводим имя-пароль и устанавливаем.
Учетку админа потом в AD отключаем. Когда надо включаем. По моему самый простой способ.

Такой вариант обдумывал. Минусы:

1. Зная пароль этого одного пользователся установщика из локадминов - люди получают админский доступ ко всем компам, в которых он прописан в группе локадминов, что не всегда желательно.

2. Добавлять в Domain admins считаю непримемлемым. А если это будет обычный доменный пользователь помещенный в группу локадминов, то возникает проблема раздачи прав ему, т.к. если запускать с сетевого ресурса от его имени нужно чтобы у него были права на то что было у первончального пользователя.

И еще - не хотелось бы мне учавствовать в этом процессе. Вот есть люди - опытные пользователи они знают пароль локадмина к своей машине, но работают в основном обычными пользователями, при необходимости переключаясь на админа и устанавливая проги, не теряя своего доступа к сетевым ресурсам.

И есть такая локальная группа, члены которой могут устанавливать программы

я считаю, что этой группе тоже слишком много доступно, если вирус от имени пользователя в этой группе получает управление, то вред он системе принесет без ограничений. По-крайней мере все ключи run runservice и т.п. будут доступны на запись. Хотелось бы работать в основном именно обычным юзером.

а сами удалённо не пытались устанавливать программы через GPO ?
Пришёл сотрудник на работу - а у него уже всё установленно.

А отвечать за всю установленную х%*№ю хотелось бы? Это я про лицензионность софта и вирусы.
Кто мешает запускать установку от имени локального админа? Да, в ХР сетевые пути на уровне букв дисков не видны, только в 2000-м, но можно скопировать дистрибутив во временную папку на локальный диск или "добираться" до установщика через сетевое окружение (последнее - скорее для сетевого админа).

Demonobond, ну тогда могу предложить попробовать вот что: Есть такая утилитка trusteeman, она позволяет разграничивать права для групп, то есть забрать у опытных пользователей, например, право на выполнение той или иной операции. Прога во вложении. Попробуй, посмотри. Прога работает с AD, по идее можно создать группу, внести в нее нужных пользователей и назначить права группе.

Все проги должен ставить админ, чтобы потом у него не болела голова почему тот или иной компьютер не правильно фунционирует. А у пользователей нужно отобрать права опытных пользователей и дать просто"пользователи"

А что мешает использовать утилиту runas , если пользователи знают пароль локального админа?

если запускать программу с сетевого ресурса, то локадмин не имеет к нему доступа и установка не запустится. Попробуйте!

Demonobond, А причем тут доступ к сетевому ресурсу? Насколько я понял вопрос стоял в том чтобы нужным пользователям дать временные права локального админа, ну так и дайте этим пользователям права на чтение шары с дистрибутивами, а устанавливать их локально они будут через runas под правами локального админа.

цитирую себя:

...Как сделать так чтобы можно было не завершая сеанса и не теряя авторизации в DC стать временно локадмином, установить программу, а затем опять стать рядовым пользователем?...

шары с дистрибутивами у разных пользователей разные. Кроме того мне хочется это реализовать не только для установки но и для настройки системы. Даже для себя. я бы предпочел работать обычным пользователем. А когда мне нужно перенастроить систему переключаться на админа, делать перенастройку и переставать быть админом. Если перелогиниваться проблем нет: работаешь юзером, добавил себя доменного от лица локадмина в локальных администраторов, завершил сеанс вошел собой, установил настроил, удалил себя доменного из группы локадминов и снова перелогинился. Все будет четко, только перелогиниваться неохота дважды. но я так понимаю, что по другому - никак.

Вот я сижу локадмином на своем компе. Подцепил вирус даже не знаю как. Вирус не лечится ни симантеком ни есетом, но пользуясь моими админскими правами вживился в систему конкретно.

ответ: никак

либо RUNAS с учёткой AD имеющей права на установку ПО, либо никак !
Есть ещё вариант с повышением привелегий, но на сколько я помню - это временно.

А решение я кажется придумал! и именно Вы навели меня на эту мысль. спасибо! сейчас проверю и озвучу!

Будучи обычным пользователем домена и локального компа можно выполнить такую команду:

runas /savecred /user:%COMPUTERNAME%\Администратор "net localgroup Администраторы %USERDOMAIN%\%USERNAME% /add"

После этого достаточно правой кнопкой на проводнике или фаре сделать запуск от имени и в качестве пользователя указать этого же доменного пользователя который работает в системе и этот проводник или фар уже запустится с правами локадмина.

Затем нужно выполнить ту же команду с /delete разумеется.

Не знаю насколько это будет стабильно в эксплуатации, но в первом приближении работает. Что интересно что интерактивный запуск правой кнопкой мыши срабатывает, а вот runas от доменного пользователя - нет. То есть если после первой команды сразу выполнить что-то типа:

start /w runas /profile /env /user:%USERDOMAIN%\%USERNAME% explorer

то этот эксплорер запускается без прав локадмина. Видимо есть различия в поведении системы при этих двух способах запуска.

т.е. вы хотите чтобы пользователи вот это ВСЁ вводили перед тем как им нужно установить какое-либо ПО ? :o

Хотел бы вас спросить: а чем Вы занимаетесь вообще на работе?

Товарищ, вот Вы вроде ветеран, а простых вещей не понимаете ;) Даже специально переменные среды окружения подставлены, чтобы скрипт универсальный был. Все это можно ввести в .bat (можно и в .wsf переделать) файл, настроить ярлык и т.п. Учитывая наличие /savecred - пароль вводить придется лишь один раз. Но здесь всего лишь идея. Те кому нужно - поймут. Получается, на самом деле, достаточно удобно.

Включите ремоут десктоп для компьютера, и не выходя из сессии открывайте его (компьютер) терминально с правами админа. :)