使用域用户权限|安装软件

转载自：http://blog.chinaunix.net/uid-7528962-id-3156433.html

如何让普通的域用户有安装软件的权限？如今给客户部署了活动目录，客户要求 普通的域用户也能够本身安装软件。不知道如何设置，但愿你们帮帮忙！我告诉客户的作法以下：不知道可行性如何？

一、在域中新建一个域帐户好比setup设置密码永不过时用户不能更改密码，添加到域管理员组中。
二、修改域组策略计算机配置-windows设置---安全设置---本地策略---用户权限分配-找到 拒绝本地登录 这个策略：启用这个策略 将新建的用户如setup添加到里面。
三、域用户要安装软件的时候：右键点击须要安装的软件选择：ruan as （即 运行方式）
选择 下列用户：输入 新建的用户名密码 （如 域名\setup）安装便可。

回答：根据您的描述，我对这个问题的理解是：您须要让普通域用户能够在域中的客户机上有安装软件的权限。普通用户之因此不能安装软件，通常是缺乏对注册表的修改权限以及对安装目标文件夹的修改权限。只有少数组成员拥有该权限，如本地管理员组和Power User组的成员，有的软件必需要本地管理员组的成员才能安装。

因此，最直接的办法是将域用户账号加到客户机的本地管理员组或者是Power Users组，绝大多数用户会这样去作，也是推荐的方法。

若是此方法不符合客户的安全规定，也有相对复杂一些的作法，极少数用户会用到：
1．记录安装这些软件以前的注册表和文件夹状态您看到的文章来自活动目录

2．管理员安装这些软件
3．完成后，肯定这些软件会修改哪些注册表键值和文件夹。
4．而后在每一个注册表键值和文件夹上赋予普通用户相应的权限
……

除此以外，对于某些软件：
能够将软件使用组策略分发给计算机自动安装，用户没必要手动安装，但仅限于某些软件，须要通过测试才能使用此方法。这里是分发.msi格式安装文件的一个参考：http://support.microsoft.com/kb/887405/en-us

还有不少方法，但都须要根据要安装的软件和客户的策略是否容许。

您的思路是可行的，但须要进行一些补充。由于让每一个用户都知道域管理员的密码是极不安全的作法，即便您拒绝本地登陆。（就安全性而言, 将域用户加到他的工做机的本地管理员组会更好。）

若是但愿使用run as的方法，建议编写管理员安装的run as登陆脚本，而后使用script encoder对脚本进行编码加密
如何使用run as请参考：http://support.microsoft.com/?id=294676

下载并使用Script Encoder请参考：
http://www.microsoft.com/downloads/details.aspx?FamilyId=E7877F67-C447-4873-B1B0-21F0626A6329&displaylang=en