0

我的帖子

个人中心

设置

  发新话题
域控:windows2012r2
客户机:win7、win8.1、win10
前提:域普通用户在本地power users组而不在administrators组。需求:想开通1个具有域管理员的权限的用户,用于安装软件,但是要禁止他登录域控和登录域客户端,怎么才能做到?
现状:现状已经新建了1个账户setup,具有域管理员权限,组策略--计算机配置--策略--windows设置--安全设置--本地策略--用户权限分配--拒绝本地登录,添加了setup这个用户,但是现在域客户端用setup安装没权限。
粘贴图片.png (262.43 KB)

2017-8-4 14:55

粘贴图片.png




引用:
原帖由 tambiao 于 2017-8-4 14:55 发表
域控:windows2012r2
客户机:win7、win8.1、win10
前提:域普通用户在本地power users组而不在administrators组。需求:想开通1个具有域管理员的权限的用户,用于安装软件,但是要禁止他登录域控和登录域客户端,怎么才能做到?
现 ...
你是想远程安装软件?



我的微博:http://t.sina.com.cn/lzy821218
不是的,我是想让同事自助安装软件。我公布这个具有安装权限的域管理员setup用户名和密码。大家需要安装软件就用这个用户。但是禁止这个用户登录域控和域客户机。这个可以实现么?



远程安装软件?是怎么1个实现方式?公司人太多,不想做这种重复的动作来浪费时间。所以想开放1个具有安装软件权限,但是禁止它登录域控,禁止它修改密码,禁止登录域任意客户端。

我是不是想的有点多?



指定它只能登陆一台就可以了
引用:
原帖由 tambiao 于 2017-8-4 16:02 发表
远程安装软件?是怎么1个实现方式?公司人太多,不想做这种重复的动作来浪费时间。所以想开放1个具有安装软件权限,但是禁止它登录域控,禁止它修改密码,禁止登录域任意客户端。

我是不是想的有点多? ...



引用:
原帖由 tambiao 于 2017-8-4 14:55 发表
域控:windows2012r2
客户机:win7、win8.1、win10
前提:域普通用户在本地power users组而不在administrators组。需求:想开通1个具有域管理员的权限的用户,用于安装软件,但是要禁止他登录域控和登录域客户端,怎么才能做到?
现 ...
查看setup帐号是否在domain admins组中!!!



天行健,君子以自强不息。地势坤,君子以厚德载物!
Windows Server\Exchange\VMware技术支持QQ:935257779!
setup帐号是在domain admins组,我添加的。
1111.png (80.73 KB)

2017-8-4 17:23

1111.png




用组策略推送软件部更好
谁要软件,给加进去就可以了



引用:
原帖由 tao61 于 2017-8-4 17:53 发表
用组策略推送软件部更好
谁要软件,给加进去就可以了
推送软件,过大的不好弄,软件需求也不统一。我描述的这样的功能可以实现吗?



禁止登陆DC容易
Default Domain Controllers Policy 设置
不登录客户端除非你安装文件没放在域内的主机



引用:
原帖由 tambiao 于 2017-8-4 15:59 发表
不是的,我是想让同事自助安装软件。我公布这个具有安装权限的域管理员setup用户名和密码。大家需要安装软件就用这个用户。但是禁止这个用户登录域控和域客户机。这个可以实现么? ...
1、如果只是安装软件,可以建一个普通的域用户,默认就在domain users组里,权限也不大。
2、通过组策略的脚本或者受限制的组,把它加入到客户端的本地管理员组“administrators”里,这样就能用这个账号来装软件了,装软件只需要有本地管理员权限,不需要域管理员权限。
注:“受限制的组”要在OU里放计算机对象,这个别弄错。先添加administrators,这个组的成员添加setup
3、因为Domain users组成员默认没有登录DC的权限,所以对于DC是安全的。



我的微博:http://t.sina.com.cn/lzy821218
引用:
原帖由 tambiao 于 2017-8-4 14:55 发表
域控:windows2012r2
客户机:win7、win8.1、win10
前提:域普通用户在本地power users组而不在administrators组。需求:想开通1个具有域管理员的权限的用户,用于安装软件,但是要禁止他登录域控和登录域客户端,怎么才能做到?
现 ...
1、大部分软件是可以登录用一个域账号,安装就“以其它用户身份运行”,即另一个有权限的账号来安装,但是有小部分情况,就像税务、银行、工程类的软件,必须要用当前登录的账号来安装,否则安装后要么不能使用,要么在使用中会有问题。所以保险起见,最好在使用前先测试一下。
2、用组策略安装软件也是,有些格式没问题,有些需要转换一下。这个可以自己先实验一下。
3、可以用psexec这个命令远程批量安装



我的微博:http://t.sina.com.cn/lzy821218
LZ告诉你有个叫CPAU的工具
详细用法请自行百度
说个流程
1.用CPAU加密你有权限的账号密码
2.用CPAU调用加密后的账号密码执行你想执行的程序
做成BAT之后下发或者做个共享,无需切换账号,双击一下,就能安装软件



楼主开通域管理员用户的目的是什么,如果只是为了让用户安装软件,那么计算机的本地管理员是一样的,照版主的做法可以实现的,但是这样的话,域用户都拥有本地管理员的权限,可以完全控制自己的计算机,不能登录域控制器。



‹‹ 上一贴:自己电脑开启hyper搭建了2台server 2012 r2,不同域怎么 ...   |   下一贴:求助: 组策略outlook模板中两个关于PST设置大小的区别 ... ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2017 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com