none
Delegare l'amministrazione dei desktop ... RRS feed

  • Domanda

  • In azienda è stata chiesta a noi del gruppo ICT la possibilità di permettere ad un piccolo gruppo di utenti "selezionati" di poter eseguire in autonomia l'installazione/disinstallazione di software, fonts ed hardware per concedere ai gruppi di lavoro una certa autonomia in caso di problemi o necessità particolari che si potessero presentare "fuori orario" (in azienda in fase di consegna si lavora spesso anche di notte).
    Ovviamente quando ci è arrivata la richiesta siamo inorriditi, ma sembra che sia necessario dare seguito alla pensata, ergo ci stavamo ponendo il problema di riuscire a concedere al gruppetto di utenti il minimo indispensabile per poter eseguire sui desktop degli utenti le operazioni richieste, senza la possibilità che gli stessi possano mettere mano alle risorse di Active Directory oppure manipolari i diritti di accesso alle cartelle di rete.
    Esiste quindi la possibilità di eleggere ruoli amministrativi "desktop only" con i normali tools di AD, senza doversi ad sempio inventare utenti locali su ogni singola macchina dell'azienda dei quali poi dover divulgare la password senza alcun controllo ?

    ALex.


    • Modificato Alex_B_ lunedì 27 ottobre 2014 14:27
    lunedì 27 ottobre 2014 14:26

Risposte

  • basta rendere quegli utenti membri del gruppo Administrators locale di ciascun client e questo si può fare mediante script da distribuire con le group policy.

    https://gallery.technet.microsoft.com/scriptcenter/Add-AD-UserGroup-to-Local-fe5e9239


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 27 ottobre 2014 15:29
    Moderatore

Tutte le risposte

  • basta rendere quegli utenti membri del gruppo Administrators locale di ciascun client e questo si può fare mediante script da distribuire con le group policy.

    https://gallery.technet.microsoft.com/scriptcenter/Add-AD-UserGroup-to-Local-fe5e9239


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    lunedì 27 ottobre 2014 15:29
    Moderatore
  • basta rendere quegli utenti membri del gruppo Administrators locale di ciascun client e questo si può fare mediante script da distribuire con le group policy.

    https://gallery.technet.microsoft.com/scriptcenter/Add-AD-UserGroup-to-Local-fe5e9239


    Edoardo Benussi
    Microsoft MVP - Directory Services
    edo[at]mvps[dot]org

    Ottimo come sempre, grazie infinite ... seguendo il tuo suggerimento ho risolto brillantemente.

    In realtà ho implementato tutto attraverso GPME senza necessità di scrivere script; mi permetto a tal proposito di segnalare l'ottimo articolo che ho utilizzato come tutorial per portare a termine l'implementazione: 

    http://social.technet.microsoft.com/wiki/contents/articles/7833.how-to-make-a-domain-user-the-local-administrator-for-all-pcs.aspx

    ALex.

    martedì 28 ottobre 2014 11:18