[Delirium]

Как вариант - создать пользователя, который будет входит в группу админов на локальных компах(ну или Domain admins ) - через групповую политику - restricted groups, и дать имя пароль пользователям. Запускать установку программ через Shift+правая кнопка мыши - запуск от имени. Вводим имя-пароль и устанавливаем.
Учетку админа потом в AD отключаем. Когда надо включаем. По моему самый простой способ.

[Demonobond]

Цитата Delirium:

Как вариант - создать пользователя, который будет входит в группу админов на локальных компах(ну или Domain admins ) - через групповую политику - restricted groups, и дать имя пароль пользователям. Запускать установку программ через Shift+правая кнопка мыши - запуск от имени. Вводим имя-пароль и устанавливаем. »

Такой вариант обдумывал. Минусы:

1. Зная пароль этого одного пользователся установщика из локадминов - люди получают админский доступ ко всем компам, в которых он прописан в группе локадминов, что не всегда желательно.

2. Добавлять в Domain admins считаю непримемлемым. А если это будет обычный доменный пользователь помещенный в группу локадминов, то возникает проблема раздачи прав ему, т.к. если запускать с сетевого ресурса от его имени нужно чтобы у него были права на то что было у первончального пользователя.

И еще - не хотелось бы мне учавствовать в этом процессе. Вот есть люди - опытные пользователи они знают пароль локадмина к своей машине, но работают в основном обычными пользователями, при необходимости переключаясь на админа и устанавливая проги, не теряя своего доступа к сетевым ресурсам.

[monkkey]

Цитата Demonobond:

. Вот есть люди - опытные пользователи »

И есть такая локальная группа, члены которой могут устанавливать программы

[Demonobond]

Цитата monkkey:

И есть такая локальная группа »

я считаю, что этой группе тоже слишком много доступно, если вирус от имени пользователя в этой группе получает управление, то вред он системе принесет без ограничений. По-крайней мере все ключи run runservice и т.п. будут доступны на запись. Хотелось бы работать в основном именно обычным юзером.

[exo]

Цитата Demonobond:

устанавливать программы иногда »

а сами удалённо не пытались устанавливать программы через GPO ?
Пришёл сотрудник на работу - а у него уже всё установленно.

[gf100]

Цитата Demonobond:

не хотелось бы мне учавствовать в этом процессе »

А отвечать за всю установленную х%*№ю хотелось бы? Это я про лицензионность софта и вирусы.

Цитата Demonobond:

есть люди - опытные пользователи они знают пароль локадмина к своей машине, но работают в основном обычными пользователями, при необходимости переключаясь на админа и устанавливая проги, не теряя своего доступа к сетевым ресурсам. »

Кто мешает запускать установку от имени локального админа? Да, в ХР сетевые пути на уровне букв дисков не видны, только в 2000-м, но можно скопировать дистрибутив во временную папку на локальный диск или "добираться" до установщика через сетевое окружение (последнее - скорее для сетевого админа).

[Delirium]

Demonobond, ну тогда могу предложить попробовать вот что: Есть такая утилитка trusteeman, она позволяет разграничивать права для групп, то есть забрать у опытных пользователей, например, право на выполнение той или иной операции. Прога во вложении. Попробуй, посмотри. Прога работает с AD, по идее можно создать группу, внести в нее нужных пользователей и назначить права группе.

[babki]

Все проги должен ставить админ, чтобы потом у него не болела голова почему тот или иной компьютер не правильно фунционирует. А у пользователей нужно отобрать права опытных пользователей и дать просто"пользователи"

[GreenIce]

А что мешает использовать утилиту runas , если пользователи знают пароль локального админа?