Active Directory Kullanıcının Yalnızca Yüklemesine İzin Ver

Aktif dizin ağımda, tüm bilgisayarlarda acil durumlarda programları yönetici olarak kurmasına izin verecek, ancak ağın bütünlüğünden ödün vermeyecek yarı-idari izinler vererek patronumu tatmin etmek istiyorum. Temel kullanıcı izinleri + programları / sürücüleri yönetici olarak yükleme kabiliyetine izin verecek herhangi bir Yönetici Grubu ayarı veya Grubu oluşturabilecek miyim? Ona Etki Alanı Yöneticisi veya çılgın bir şey vermek istemiyorum, sadece UAC'yi atlayın.

GPO üzerinden UAC'yi atlaması için ona izin verecektim, ama sadece onun için tam bir GPO yapmam gerekir mi? Bu çok fazla mı?

— TheFrack
kaynak

Normal kullanıcıların sürücüleri yüklemelerine izin verebilir ve sürücüleri, her bilgisayarın bunları alabileceği bir paylaşıma koyabilirsiniz. Technet.microsoft.com/en-us/library/cc725772.aspx adresine bakın veya GPO'da Bilgisayar Yapılandırması, Yönetim Şablonları, Sistem, Sürücü Kurulumu bölümüne bakın.

— Patrick Seymour

IMO, ona malzeme yüklemesine izin veriyorsanız (ve ona güvenmiyorsanız), o zaman zaten ağın bütünlüğünden ödün verdiniz. :)

Bunu söyledikten, işte bir öneri:

Etki alanı hesabını iş istasyonlarındaki "Power Users" grubuna eklemek için GP Sınırlı Grupları ayarlarını kullanın.

Uyarı: Bu, sistem düzeyinde oldukları ve Yönetici izinleri gerektirdiği için sürücü yüklemesine izin vermeyebilir.

Uzman Kullanıcılar yazılımı yükleyebilir, ancak tam yönetici değillerdir. Varsayılanlar hakkında daha fazla bilgi için şu SU sorusuna bakın: Uzman kullanıcı ile Yönetici arasındaki fark

Öğretici bağlantılar:

Kullanıcıları Grup İlkesi'ni kullanarak yerel güvenlik gruplarına ekleme (Özel olarak Güçlü Kullanıcılar grubuna kullanıcı ekleme konusunda konuşur)
Bunun yerine Grup İlkesi Tercihleri ile yapmak

— Ƭᴇcʜιᴇ007
kaynak

@guntbert "Güçlü Kullanıcılar" hala var. Liste için bkz. Varsayılan yerel gruplar .

— Ƭᴇcʜιᴇ007

Gerçekten, düzeltilmiş olarak duruyorum :-)

— guntbert

Üzgünüm, ben bu AD şeyinde gerçekten yeniyim, kötü kendini öğretmişim. GPO'da bu klasör mü: i.imgur.com/WktqcoT.png ? Bu arada ... klasörümdeki grup normal mi? Tuhaf görünüyor. Ve evet, patronuma güvenmiyorum, çünkü şifresi çok zayıf ve bilgisayarları bilmiyor. Bir şeyler yerleştirmek istiyorsa bunun hakkında hiçbir şey söylemem.

— TheFrack

Evet, işte o. Ve bu garip giriş GP'de artık var olmayan bir gruba (yani bir ad yerine SID'yi görüyorsunuz) atıfta bulunan bir giriş gibi görünüyor, bu girişi silmek için güvenli olduğunuzu söyleyebilirim. Ayrıca, cevabımı gerçekten nasıl uygulayacağımızla ilgili birkaç öğretici bağlantıyla cevabımı güncelleyeceğim. :)

— Ƭᴇcʜιᴇ007

Teşekkürler, öğreticinin söylediği gibi yaptım ve bir kullanıcı ekledim. Varsayılan GPO'daysa bu durum ağ girişimi önemli ölçüde yavaşlatır mı? Etki alanı çapında yapmak zorunda kaldım.

— TheFrack