這問題我傷腦筋了很久, 可是又一直找不到方法. 有很多要更新的東西, windows update 因為是server發送的所以是沒問題. 但是像 adobe acrobat, flash, java, 或是browser的 plug-in 等使用者都沒辦法自行更新. 這樣資訊人員就很麻煩, 更新的事情很瑣碎很平凡. 我有試過把program file下的那軟體folder設給那位使用者有完全的權限, 可是還是沒用. 用power user的話我不確定, 好像如果那軟體不是這位power user安裝的也是沒用. 我們使用者都是用Win 7.
已邀請的邦友 {{ invite_list.length }}/5
底下內容煩請參考
Win2003 網域 軟體部屬教學
http://ithelp.ithome.com.tw/question/10017427
Adobe Flash Player MSI檔案下載
http://www.adobe.com/tw/products/flashplayer/distribution3.html
Adobe Reader MSI 檔案下載
ftp://ftp.adobe.com/pub/adobe/reader/win/11.x/11.0.00/zh_TW/
Java GPO 部署教學
http://www.java.com/zh_TW/download/help/msi_install.xml
http://ivan.dretvic.com/2011/06/how-to-package-and-deploy-java-jre-1-6-0_26-via-group-policy/
使用系統內建的 runas 指令, 可以提升執行 setup 時所需的權限等級. 但 Runas 需要當場敲密碼, 如果你不願意幫 User 敲管理員密碼的話, 可以考慮加掛以下幾種軟體來自動敲密碼:
我是下載了flash.msi,通過group policy可以deploy,我的ad還是2003。
java也含有msi。
同意樓上二位提的方法,另外一個角度來想如果軟體的權限機制除了檔案的Full Control以外,如果有異動到"機碼"的話,需要在Local Machine下的software中軟體的機碼也要有權限,因此您可以試著在Local Machine\software\<AP Name>這一層增加使用者機碼後重新開機,確認這個方式是否可行,若可行的話只要在GPO中的電腦原則中的安全性原增內的機碼中增加使用者權限,應該就可以完成,若還是不行的話應該只能用RUNAS來解決了!!
嗯,但要注意的是, 樓上幾位大大都沒提到像是 runas 等軟體安全性的問題
例如 將某軟體的透過runas 做好安裝檔後,執行過程中會有漏洞像使用者可取得 runas 設定安裝檔的帳號權限,若是您輸入類似domain admin 的權限,後續是很麻煩的,會用的使用者只要執行一次就可以取得權限,除非你更改帳號密碼,否則他以後不用再執行您先前做的執行檔,也可以隨時用先前取得的權限,執行更多程式,雖然不是每個USER 都知道,但只要有一個就把你搞死了,所以輸入帳號前也請考慮清楚,要用什麼帳號權限安裝吧
建議還是考慮多用GPO派送的方式。
HI, 不是指內建的runas, 而是指 runasspc 等類似的軟體,會有這種漏洞,使用者取得權限不需知道密碼
這個顧慮是對的。
我舉個例來說
如果你用 AUTOIT 以 domain admin 權限來執行某個安裝檔,藉此來部署程式
這個程式執行的時候,理所當然是以 domain admin 的身分來執行的對吧?
那要是這個程式在執行中剛好某個部分 USER 可以插手,中斷了 AUTOIT 的指令,然後很剛好的,假設這個程式的某個部分可以叫出 HELP 或是開啟檔案的視窗,那麼這個 HELP 或是視窗也當然是 domain admin 的身分,然後 USER 在視窗中輸入指令,例如 CMD ,如果可以被執行的話,這個 CMD 也當然會是 DOMAIN ADMIN 的權限,然後USER就可以為所欲為了。
話說,我很少看到有人會提到這個缺點說,讚
iThome鐵人賽
看影片追技術