iT邦幫忙

0

Windows 2008 R2 AD下的普通使用者"user group" 要如何做軟體更新

這問題我傷腦筋了很久, 可是又一直找不到方法. 有很多要更新的東西, windows update 因為是server發送的所以是沒問題. 但是像 adobe acrobat, flash, java, 或是browser的 plug-in 等使用者都沒辦法自行更新. 這樣資訊人員就很麻煩, 更新的事情很瑣碎很平凡. 我有試過把program file下的那軟體folder設給那位使用者有完全的權限, 可是還是沒用. 用power user的話我不確定, 好像如果那軟體不是這位power user安裝的也是沒用. 我們使用者都是用Win 7.

14
raytracy
iT邦大神 1 級 ‧ 2012-12-28 11:17:55

使用系統內建的 runas 指令, 可以提升執行 setup 時所需的權限等級. 但 Runas 需要當場敲密碼, 如果你不願意幫 User 敲管理員密碼的話, 可以考慮加掛以下幾種軟體來自動敲密碼:

解決執行RUNAS,自動帶密碼的方法

4
alexlex
iT邦新手 4 級 ‧ 2012-12-29 09:38:59

我是下載了flash.msi,通過group policy可以deploy,我的ad還是2003。
java也含有msi。

rochuang iT邦新手 5 級 ‧ 2013-01-04 14:37:25 檢舉

為什麼.msi的檔可以不受到group policy的限制? 重ad指派的嗎?

alexlex iT邦新手 4 級 ‧ 2013-01-16 09:42:34 檢舉

你是說不受權限限制吧,具體不是很清楚,但我猜想是因為apply group policy是由某個service執行的,該service應該是local system權限

4
alvin0130
iT邦新手 5 級 ‧ 2013-01-03 21:29:40

同意樓上二位提的方法,另外一個角度來想如果軟體的權限機制除了檔案的Full Control以外,如果有異動到"機碼"的話,需要在Local Machine下的software中軟體的機碼也要有權限,因此您可以試著在Local Machine\software\<AP Name>這一層增加使用者機碼後重新開機,確認這個方式是否可行,若可行的話只要在GPO中的電腦原則中的安全性原增內的機碼中增加使用者權限,應該就可以完成,若還是不行的話應該只能用RUNAS來解決了!!

rochuang iT邦新手 5 級 ‧ 2013-01-04 14:43:02 檢舉

hi, 你是說Regedit下的機碼加到policy下的安全性然後給這使用者或群組就可以?
請問你說的安全性是在哪個我找不到?

rochuang iT邦新手 5 級 ‧ 2013-01-04 14:46:25 檢舉

在policy下的那個地方或那些地方增加使用者?

4
seei
iT邦新手 3 級 ‧ 2013-01-15 11:01:48

嗯,但要注意的是, 樓上幾位大大都沒提到像是 runas 等軟體安全性的問題
例如 將某軟體的透過runas 做好安裝檔後,執行過程中會有漏洞像使用者可取得 runas 設定安裝檔的帳號權限,若是您輸入類似domain admin 的權限,後續是很麻煩的,會用的使用者只要執行一次就可以取得權限,除非你更改帳號密碼,否則他以後不用再執行您先前做的執行檔,也可以隨時用先前取得的權限,執行更多程式,雖然不是每個USER 都知道,但只要有一個就把你搞死了,所以輸入帳號前也請考慮清楚,要用什麼帳號權限安裝吧
建議還是考慮多用GPO派送的方式。

看更多先前的回應...收起先前的回應...
rochuang iT邦新手 5 級 ‧ 2013-01-15 16:46:33 檢舉

Hi 你是說這runas 不只套用到某一個執行檔而是取得密碼後什麼執行檔都可以執行?

seei iT邦新手 3 級 ‧ 2013-01-15 23:32:34 檢舉

HI, 不是指內建的runas, 而是指 runasspc 等類似的軟體,會有這種漏洞,使用者取得權限不需知道密碼

小成 iT邦高手 10 級 ‧ 2013-01-15 23:44:05 檢舉

這個顧慮是對的。
我舉個例來說
如果你用 AUTOIT 以 domain admin 權限來執行某個安裝檔,藉此來部署程式
這個程式執行的時候,理所當然是以 domain admin 的身分來執行的對吧?
那要是這個程式在執行中剛好某個部分 USER 可以插手,中斷了 AUTOIT 的指令,然後很剛好的,假設這個程式的某個部分可以叫出 HELP 或是開啟檔案的視窗,那麼這個 HELP 或是視窗也當然是 domain admin 的身分,然後 USER 在視窗中輸入指令,例如 CMD ,如果可以被執行的話,這個 CMD 也當然會是 DOMAIN ADMIN 的權限,然後USER就可以為所欲為了。

小成 iT邦高手 10 級 ‧ 2013-01-15 23:50:07 檢舉

話說,我很少看到有人會提到這個缺點說,讚簽名

我要發表回答

立即登入回答