[Demonobond]

Цитата GreenIce:

А что мешает использовать утилиту runas , если пользователи знают пароль локального админа? »

если запускать программу с сетевого ресурса, то локадмин не имеет к нему доступа и установка не запустится. Попробуйте!

[GreenIce]

Demonobond, А причем тут доступ к сетевому ресурсу? Насколько я понял вопрос стоял в том чтобы нужным пользователям дать временные права локального админа, ну так и дайте этим пользователям права на чтение шары с дистрибутивами, а устанавливать их локально они будут через runas под правами локального админа.

[Demonobond]

Цитата GreenIce:

Насколько я понял вопрос стоял в том чтобы нужным пользователям »

цитирую себя:

...Как сделать так чтобы можно было не завершая сеанса и не теряя авторизации в DC стать временно локадмином, установить программу, а затем опять стать рядовым пользователем?...

шары с дистрибутивами у разных пользователей разные. Кроме того мне хочется это реализовать не только для установки но и для настройки системы. Даже для себя. я бы предпочел работать обычным пользователем. А когда мне нужно перенастроить систему переключаться на админа, делать перенастройку и переставать быть админом. Если перелогиниваться проблем нет: работаешь юзером, добавил себя доменного от лица локадмина в локальных администраторов, завершил сеанс вошел собой, установил настроил, удалил себя доменного из группы локадминов и снова перелогинился. Все будет четко, только перелогиниваться неохота дважды. но я так понимаю, что по другому - никак.

Вот я сижу локадмином на своем компе. Подцепил вирус даже не знаю как. Вирус не лечится ни симантеком ни есетом, но пользуясь моими админскими правами вживился в систему конкретно.

[exo]

Цитата Demonobond:

Как сделать так чтобы можно было не завершая сеанса и не теряя авторизации в DC стать временно локадмином, установить программу, а затем опять стать рядовым пользователем?... »

ответ: никак

либо RUNAS с учёткой AD имеющей права на установку ПО, либо никак !
Есть ещё вариант с повышением привелегий, но на сколько я помню - это временно.

[Demonobond]

Цитата exo:

ответ: никак »

А решение я кажется придумал! и именно Вы навели меня на эту мысль. спасибо! сейчас проверю и озвучу!

[Demonobond]

Цитата Demonobond:

сейчас проверю и озвучу! »

Будучи обычным пользователем домена и локального компа можно выполнить такую команду:

runas /savecred /user:%COMPUTERNAME%\Администратор "net localgroup Администраторы %USERDOMAIN%\%USERNAME% /add"

После этого достаточно правой кнопкой на проводнике или фаре сделать запуск от имени и в качестве пользователя указать этого же доменного пользователя который работает в системе и этот проводник или фар уже запустится с правами локадмина.

Затем нужно выполнить ту же команду с /delete разумеется.

Не знаю насколько это будет стабильно в эксплуатации, но в первом приближении работает. Что интересно что интерактивный запуск правой кнопкой мыши срабатывает, а вот runas от доменного пользователя - нет. То есть если после первой команды сразу выполнить что-то типа:

start /w runas /profile /env /user:%USERDOMAIN%\%USERNAME% explorer

то этот эксплорер запускается без прав локадмина. Видимо есть различия в поведении системы при этих двух способах запуска.

[exo]

Цитата Demonobond:

runas /savecred /user:%COMPUTERNAME%\Администратор "net localgroup Администраторы %USERDOMAIN%\%USERNAME% /add" »

т.е. вы хотите чтобы пользователи вот это ВСЁ вводили перед тем как им нужно установить какое-либо ПО ?

Хотел бы вас спросить: а чем Вы занимаетесь вообще на работе?

[Demonobond]

Цитата exo:

ВСЁ вводили перед »

Товарищ, вот Вы вроде ветеран, а простых вещей не понимаете Даже специально переменные среды окружения подставлены, чтобы скрипт универсальный был. Все это можно ввести в .bat (можно и в .wsf переделать) файл, настроить ярлык и т.п. Учитывая наличие /savecred - пароль вводить придется лишь один раз. Но здесь всего лишь идея. Те кому нужно - поймут. Получается, на самом деле, достаточно удобно.

[GreenIce]

Включите ремоут десктоп для компьютера, и не выходя из сессии открывайте его (компьютер) терминально с правами админа.