none
Autorizzare user ad installare applicazioni su client. RRS feed

  • Domanda

  • Buongiorno a tutti. In ufficio ho un Windows 2008 R2 come DC e  Windows 10 pro come client. Come da oggetto avrei bisogno di permettere ad un utente (anche creandolo nuovo) di poter installare le applicazioni sui client in quanto attualmente le uniche credenziali che lo permettono sono quelle dell'Administrator e vorrei evitare, in quanto non sempre disponibile in ufficio, di dover divulgare tali credenziali.

    Grazie a chi mi potrà dare un aiuto.


    • Modificato ZioB lunedì 5 giugno 2017 11:52
    lunedì 5 giugno 2017 10:36

Tutte le risposte

  • Aggiungi l'utente di dominio al gruppo degli amministratori locali della macchina utilizzando ad esempio "control userpasswords2".
    In questo modo l'utente potrà amministrare solo il suo computer (e quindi installare anche nuove applicazioni).
    Non è possibile consentire l'installazione di applicazioni senza concedere privilegi amministrativi, eccetto ovviamente le applicazioni che si installano nel contesto utente o che si possono "pubblicare" con System Center o con le GPO.
    lunedì 5 giugno 2017 11:21
    Moderatore
  • Grazie Fabrizio. Non ho problemi a far accedere un utente con privilegi amministrativi (se possibile non allo stesso livello dell'amministratore, ma il più limitati possibile). Quello che mi serve è non dare le credenziali di amministratore che solo io ho. All'utente designato creerei un accesso esclusivo del quale solo lui ha le credenziali quindi facilmente identificabile nel momento in cui crea problemi. Questo perché, in accordo con il responsabile, creerebbe meno disagio in cui io non sia disponibile.

    Grazie di nuovo

    lunedì 5 giugno 2017 12:48
  • Potresti creare un utente in AD e chiamarlo ad esempio 0admin, puoi crei sempre in AD un gruppo di sicurezza chiamato ad esemplio Local IT e ci metti dentro l'utente 0admin, infine tramite GPO configuri i Restricted Groups in modo che il gruppo Local IT sia membro del gruppo locale Administrator insieme ad Administrator e Domain Admins.

    In questo modo l'utente 0admin è amministratore di tutti i PC.

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    lunedì 5 giugno 2017 14:22
  • Facendo così però l'utente 0admin potrebbe modificare anche l'account Administrator, lavorare sul server, ecc... in alcune aziende in cui vado non tutti gli utenti in AD hanno bisogno delle credenziali dell'Administrator per installare il software. Ecco perché pensavo che ci fosse la possibilità di creare un utente e tramite qualche criterio di gruppo, possa installare anche i programmi sui client.
    lunedì 5 giugno 2017 14:51
  • Grazie Fabrizio. Non ho problemi a far accedere un utente con privilegi amministrativi (se possibile non allo stesso livello dell'amministratore, ma il più limitati possibile). Quello che mi serve è non dare le credenziali di amministratore che solo io ho. All'utente designato creerei un accesso esclusivo del quale solo lui ha le credenziali quindi facilmente identificabile nel momento in cui crea problemi. Questo perché, in accordo con il responsabile, creerebbe meno disagio in cui io non sia disponibile.

    Grazie di nuovo


    Se fai come ti ho detto rendi direttamente il suo account di dominio "un amministratore" solo del suo computer quindi non capisco il problema. Se poi ti serve su più computer puoi fare come consigliato da Andrea, ovvero aggiungere l'utente al gruppo degli amministratori locali di ogni computer.

    lunedì 5 giugno 2017 14:58
    Moderatore
  • Facendo così però l'utente 0admin potrebbe modificare anche l'account Administrator, lavorare sul server, ecc... in alcune aziende in cui vado non tutti gli utenti in AD hanno bisogno delle credenziali dell'Administrator per installare il software. Ecco perché pensavo che ci fosse la possibilità di creare un utente e tramite qualche criterio di gruppo, possa installare anche i programmi sui client.

    Ricorda che l'utente 0admin sarenbbe administrator solo sui singoli PC, sui server e AD sarebbe un normale user quindi cosa può fare all'account Administrator ad esempio?

    Cambiargli la password? Ma quella puoi settarla in modo centralizzato.

    L'altro modo per installare programmi senza le credenziali di administrator è quello di sfruttare la funzionalità di Software Distribution tramite GPO (https://support.microsoft.com/it-it/help/816102/how-to-use-group-policy-to-remotely-install-software-in-windows-server-2008-and-in-windows-server-2003) ma purtroppo funziona bene solo per i setup nel formati MSI per gli altri dovresti lavorarci su per trasformali.

    Ciao


    Andrea Sistarelli
    Blog
    Datacen srl - Consulenza informatica

    lunedì 5 giugno 2017 16:12