[El Scorpio]

Цитата hozman:

Ну так тогда смысл какой? Всегда делать пользователя хотя б 2 на каждой машине? 1 для установки ПО (админский), а другой ограниченный (пользователь). »

Нет, на компьютере в составе домена нужно делать только одного пользователя - локального администратора для установки и настройки программ. А оператор ЭВМ будет работать от имени доменного пользователя.

Другое дело, что возможны разные ситуации.
Например, пользователь использует программу, для которой не получилось найти причину, вызывающую необходимость использования прав администратора.
Другой вариант - пользователь занимается разработкой программного обеспечения и баз данных, и права локального администратора ему нужны для проверки своих наработок.

[hozman]

Цитата El Scorpio:

Нет, на компьютере в составе домена нужно делать только одного пользователя - локального администратора для установки и настройки программ. А оператор ЭВМ будет работать от имени доменного пользователя. »

В какой-то ветке мне кто-то отвечал, что рекомендуется устанавливать ПО через домен, а не локально. Получается этот админский аккаунт для того и нужен?
А для основной работы пользователь будет работать как оператор посредством аккаунт, созданный на контроллере домена, а не локально, верно?

Цитата El Scorpio:

Например, пользователь использует программу, для которой не получилось найти причину, вызывающую необходимость использования прав администратора. »

В таком случае давать ему права локального администратора?

[El Scorpio]

Цитата hozman:

В какой-то ветке мне кто-то отвечал, что рекомендуется устанавливать ПО через домен, а не локально. Получается этот админский аккаунт для того и нужен? »

Не всё ПО можно установить через GPO.
К тому же здесь очень многое схоже с разницей между единичным, серийным и массовым производством.
Если нужно установить программу на много компьютеров - проще, быстрее и надёжнее подготовить дистрибутив автоустановки.
Если нужно установить программу на одно рабочее место - проще, быстрее и надёжнее сделать это вручную.

К тому же локальный админ нужен для устранения локальных проблем, в том числе ограничивающих сетевое взаимодействие.

Цитата hozman:

Цитата El Scorpio: Например, пользователь использует программу, для которой не получилось найти причину, вызывающую необходимость использования прав администратора. » В таком случае давать ему права локального администратора? »

А куда деваться - приходится....
Но лучше таки выявить проблему.

[hozman]

Цитата El Scorpio:

Не всё ПО можно установить через GPO. »

Я так понимаю, что б установить локально ПО, нужно грубо говоря, высунуть сетевой кабель из сетевой карты машины клиента и войти локально на машину клиента, верно? А дальше устанавливать всё, что нужно... Если это не возможно через групповые политики, имею ввиду не именно не возможно а не вышло, или нет необходимости.
Выходит, так решается проблема установки ПО. Если нужно, можно установить программу через GPO, а если не нужно проще установить локально, и, несмотря на то, что машина находится в домене, это не будет мешать ей пользоваться установленными локально программами, верно?

Цитата El Scorpio:

Если нужно установить программу на много компьютеров - проще, быстрее и надёжнее подготовить дистрибутив автоустановки. »

Если по ходу установки программы требуется ввести лицензионный ключ, то тоже возможно сделать дистрибутив автоустановки?

[Iska]

Цитата hozman:

Я так понимаю, что б установить локально ПО, нужно грубо говоря, высунуть сетевой кабель из сетевой карты машины клиента и войти локально на машину клиента, верно? А дальше устанавливать всё, что нужно... »

Нет. Кабель вынимать не нужно. Достаточно войти на машину локально или удалённо (под локальной или доменной учётной записью, обладающими достаточными привилегиями для установки приложений).

Цитата hozman:

Если нужно, можно установить программу через GPO, а если не нужно проще установить локально, и, несмотря на то, что машина находится в домене, это не будет мешать ей пользоваться установленными локально программами, верно? »

Верно. Только не «проще», а «возможно».

Цитата hozman:

Если по ходу установки программы требуется ввести лицензионный ключ, то тоже возможно сделать дистрибутив автоустановки? »

Если это предусмотрено. Например, ключ может вводиться при создании административной установки.

[alef2474]

Цитата hozman:

а если не нужно проще установить локально, и, несмотря на то, что машина находится в домене, это не будет мешать ей пользоваться установленными локально программами, верно? »

Чаще всего и пользуются локально установленными программами, а не какими-то сетевыми. На сервере только если в rdp-сеансах - нелокальные программы.

Цитата Iska:

Если это предусмотрено. Например, ключ может вводиться при создании административной установки. »

Это слишком мудреный ответ, который сразу приводит к вопросу: а для каких реальных программ есть эта административная установка с единым ключом?
Лучше не морочиться с этими GPO устаовками, если персонал не заставляет и есть время. Т.к. топикстартер задает простые очевидные вопросы, то сразу на большой домен он не попадет, а начнет с маленького, где можно обходиться без GPO и GPO вообще затруднительно присунуть.

[Iska]

Цитата alef2474:

Это слишком мудреный ответ, который сразу приводит к вопросу: а для каких реальных программ есть эта административная установка с единым ключом? »

Это слишком простой вопрос, который сразу приводит к ответу: для тех производителей ПО, которые не гнушаются зарабатывать на корпоративных лицензиях. Есть и ещё один ответ: существует масса приложений в формате msi-инсталляций, которые не требуют никаких ключей.

Цитата alef2474:

с маленького, где можно обходиться без GPO и GPO вообще затруднительно присунуть. »

Вы заблуждаетесь. Нет никаких минимальных ограничений по размеру для использования групповых политик для развёртывания приложений.

[hozman]

Цитата Iska:

Если это предусмотрено. Например, ключ может вводиться при создании административной установки. »

Вы имеете ввиду при помощи софта для создания msi-пакетов?

Цитата alef2474:

Лучше не морочиться с этими GPO устаовками, если персонал не заставляет и есть время. Т.к. топикстартер задает простые очевидные вопросы, то сразу на большой домен он не попадет, а начнет с маленького, где можно обходиться без GPO и GPO вообще затруднительно присунуть. »

Вот именно. Не заставляют, но.. есть всякие там вещи типа браузеров, adobe flash player и тд, которые не хочется устанавливать отдельно каждому. Это как-бы сказать, себе же удобнее. Особенно, когда пользователи работают под ограниченными учётками. И приходить к ним, входить под админа, устанавливать каждую мелочь, в тот же момент выслушивать какой я плохой, за то что у них нет прав обновить всё, что они хотят, это не есть приятно и удобно, согласитесь? Вот потому я и распрашиваю. Т.к. собираюсь в течении месяца внедрять домен.

Цитата alef2474:

то сразу на большой домен он не попаде »

Вот именно. Машин до 100. А по поводу ключей это уже мысли наперёд. Например, есть же MS Word у меня. Есть ключ к нему. Есс-но если его установить, то проще сразу вшить ключ в дистрибутив.

Цитата Iska:

Это слишком простой вопрос, который сразу приводит к ответу: для тех производителей ПО, которые не гнушаются зарабатывать на корпоративных лицензиях. Есть и ещё один ответ: существует масса приложений в формате msi-инсталляций, которые не требуют никаких ключей. »

А если всё же они( ключи ) требуются, тогда как?

[Iska]

Цитата hozman:

Вы имеете ввиду при помощи софта для создания msi-пакетов? »

Я имею в виду другое: Использование ключей и свойств установщика Windows.

Цитата hozman:

А если всё же они( ключи ) требуются, тогда как? »

Общие принципы см. там же. А вообще — читать документацию на конкретное приложение. Для «толстых» и разветвлённых пакетов приложений могут быть облегчающие подготовку развёртывания Wizard'ы и т.п. Примеры использования можно найти в разделе Автоматическая установка Windows.

[alef2474]

Цитата hozman:

Вы имеете ввиду при помощи софта для создания msi-пакетов? »

Он имел в виду, что в каких-то исключительных случаях бывают программы, для которых нужен один лицензионный ключ, вводимый предварительно на сервере, а для инсталляций через GPO-msi ключи на клиентских машинах вводить не нужно.

Цитата hozman:

для тех производителей ПО, которые не гнушаются зарабатывать на корпоративных лицензиях. »

Так Iska ушел от прямого ответа назвать конкретные широко используемые лицензионные пакеты с административной установкой и соответственно с административными ключами. А без конкретики получается разговор ни о чем и GPO - получается для установки с ключами реально неприменимо, никчемно. GPO полезно, если шеф приказал у всех на компьютерах иметь одинаковую картинку рабстола с его любимым логотипом.

Цитата hozman:

А по поводу ключей это уже мысли наперёд »

Вы правильно поняли слабое место этих GPO.

Цитата hozman:

И приходить к ним, входить под админа, устанавливать каждую мелочь, в тот же момент выслушивать какой я плохой, за то что у них нет прав обновить всё, что они хотят, это не есть приятно и удобно, согласитесь? »

В случае домена тоже самое будет, даже еще хуже в случае применения прославляемого GPO: вас будут ругать, что при загрузке компьютера какая-то хрень долго устанавливается, мешает, а еще и автоматически сбойнуть может, машины же разные, с особенностями.
Это вопрос не применения доменов и GPO, а организации работы в организации: есть шефы, которые хотят, чтобы у всех или у избранных был админдоступ, возможность развлекаться музыкой на работе, а как там сисадмин будет крутиться - его проблемы, все могут его ругать и что-то от него требовать.
Есть организации, где зоопарк машин по ОС и старости, а есть где по 100 штук одинаковых новых стоят(как в тестах Майкрософт), да еще и слово сисадмина - закон - вот оттуда и берутся многочисленные ревнители GPO для инсталляций и прочих дел.