iT邦幫忙

0

Windows 7 加入網域後 安裝軟體時一樣是用本機的administrator帳號嗎?

請教各位前輩,小弟我最近使用網域的admin權限安裝某套軟體出現一些問題
反應廠商後,對方告知需使用本機的administrator帳號安裝
所以大家安裝軟體的時候都是會用本機administrator帳號嗎?

期待大家分享自己的經驗,謝謝

看更多先前的討論...收起先前的討論...
當然不會用本機的 administrator 啊
那個本來預設就是關閉

要不給 USER 在 GPO 設定給她安裝軟體的權限
要不用 Domain Admin 內的帳戶 遠端安裝
怎樣都不會去開 本機的 administrator 去安裝軟體的
CalvinKuo iT邦大師 7 級 ‧ 2015-10-01 13:56:56 檢舉
應該說是哪一套軟體那麼機車,一定要用本機administrator來安裝阿?
還請版大公佈一下哪家廠商與軟體...
還有安裝錯誤的訊息.
iT邦幫忙MVPcalvinkuo提到:
用本機administrator來安裝

通常是很舊的 類似foxpro這種古早味
以前到客戶安裝都會'要求客戶'關閉UAC.......
我有遇到這種狀況
廠商的軟體只認Local Administrator
我用Domain Administrators不行
不過當時是XP環境
現在不知道改了沒
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
19
Ray
iT邦大神 1 級 ‧ 2015-10-01 20:09:52
最佳解答

superfan提到:
上次請廠商來公司喝咖啡,結果他很肯定的跟我說,Domain Administrators不是最高權限, 開啟本機的Administrator帳號才是真正的最高權限,說是 Windows 7 的BUG

如果廠商在我面前這麼說, 我當場就叫這個人回家去唸完 TechNet 再來喝咖啡..

甚麼叫 Bug? 「軟體未能依照設計者所規劃的功能產生作用」才叫 Bug. 但是這個事件, 根本不是一個 Bug, 那是從 Windows Vista 就開始變更的一個「功能」.

確實, 這個現象如果發生在 Windows XP 的話, 的確可以被稱為 Bug, 因為 XP 裡面不應該這樣動作; 但是如果在 Vista 以後的版本, 那是一個微軟公開宣示的一個新功能(Feature): 叫做 UAC.

如果廠商連 Bug 和 Feature 都分不清楚, 代表他還活在 XP 的世界裡, 開發軟體的人連這都搞不清楚, 代表他根本不知道(或是不想知道, 懶得知道)從 Vista 以後, Windows 系統改變了哪些東西? 這樣不求進步, 知識還停留在 14 年前的 XP, 不肯學習現代新技術的廠商, 不值得跟他們往來.

引進 UAC 概念, 是為了解決 Windows 長年被人詬病的安全問題, 引進更精細的 Administrative Group 概念, 把他跟 Local administrator 分離出來. 這個在 Unix 已經實施了 45 年的概念, 長期被 Windows 所忽視, 好不容易現在 Windows 要跟進增加安全性, 結果竟然被不念書的軟體廠商說成是 Bug? 這豈不是指鹿為馬?

在 XP 以前的時代, Administrators Group (群組) 和 Administrator (使用者) 一直被視為相同的等級, 但這也導致了許多的安全漏洞. 用過 Unix 的人就知道: root group (群組) 的權限, 絕對跟 root user (使用者) 是不一樣的. 我可以在 Unix 系統中, 輕易的用 rwx------ 來阻止 root group 群組內的使用者存取特定資源, 並同時利用 rwxrwx--- 賦予他們其他的 root 等級權限.

但是在 XP 以前的概念, rwx------ 和 rwxrwx--- 被視同為是同一種權限. 這就造成了許多安全上的漏洞, 因為入侵者只需要想辦法將自己加入 Administrators Group 內, 就輕易取得系統的最高權限.

權限不是抽離開來就沒事了, Unix 用戶同樣需要有特定的 root 權限來進行高安全等級的作業, 這點在 Unix 裡面用的方法叫: sudo. 透過 sudo 指令, 使用者可以不需要知道 root 的密碼, 也不必用 root 身分登入, 就可以進行 root 等級的作業, 而且管理者可以限制那些用戶只能從事那些作業, 也可以留下稽核紀錄, 在資安管理的功能非常完整.

而 Windows Vista 之後, 提出跟 sudo 類似的概念, 一個是 UAC, 另一個是: 按下右鍵選「以系統管理者身分執行」. 後者等同於 Unix 裡面的 sudo 指令: 使用者不需要知道本機的 administrator 密碼, 也不需要登入成 administrator, 就可以執行高安全性作業.

不幸的是, Windows 的 sudo 概念仍不完整, 沒有辦法指定每個使用者個別的安全作業內容, 所以只好繼續沿用 Administrators Group 群組, 來概括限制能使用這個方法的使用者.

所以, 在 Administrators Group 裡面的人, 並不具備最高 User 權限(但仍具備最高 Group 權限), 這是從 Vista 開始, 到很久很久以後的 Windows 都會這樣設計, 請請大家記住這是一個功能, 別再叫他 Bug.

要使用 Windows 的 sudo 功能, 請善用:「按下右鍵選《以系統管理者身分執行》」.

Windows 這個變更, 最大的用意, 就是要所有使用者: 別再用本機的 Administrator 使用者身分登入系統去操作了!! 所以新系統預設安裝一律將此帳號 disable, 讓你習慣這樣的變更. 結果你不去適應他, 卻反其道而行非要把這個帳號開起來不可? 這不是自己開後門讓人來入侵嗎?

以後再有廠商叫大家用本機 Administrator 登入設定的話, 你就按右鍵給他看...

看更多先前的回應...收起先前的回應...

iT邦幫忙MVPraytracy提到:
叫這個人回家去唸完 TechNet 再來喝咖啡

聽大神說的話 準沒錯

大神怒了 .................
變成大怒神 哈

iT邦幫忙MVPraytracy提到:
唸完 TechNet 再來喝咖啡

等到那時,咖啡都蒸發乾了吧
噎到

Tsuna Lu iT邦新手 3 級 ‧ 2015-10-02 11:32:12 檢舉

**"raytracy"**提到:
唸完 TechNet 再來喝咖啡

咖啡可能不只乾了...杯子可能也長螞蟻了OAO
大怒神出現啦!!!(被炸

外獅佬 iT邦大師 1 級 ‧ 2015-10-02 11:35:44 檢舉

對嘛!我就說Win7有Bug!
Win7的記事本做不了Word的那樣精美排版...冷冷

Ray iT邦大神 1 級 ‧ 2015-10-02 12:39:01 檢舉

來啦, 真正的 Bug 在這裡: 4 開根號之後, 減 2, 結果應該是多少?

sqrt(4)-2 = 0 啊, 對不對?

請打開 Windows 內附的小計算機 (calc), 把上面算式打進去, 看看結果是不是 0?
Is This the Most Silly Bug in Microsoft Windows Calculator ?

不過, Excel 算出來的結果就是對的....

外獅佬 iT邦大師 1 級 ‧ 2015-10-02 13:50:51 檢舉

別說開根號了...4+5*2=18...汗

Ruei iT邦研究生 1 級 ‧ 2015-10-05 15:19:37 檢舉

rwx 和權限觀念當初都在 Linux 適應的,XP 換到 Vista / 7 之後權限就比較緊,而 8 更緊些,因為之前在 8 遭遇居然不允許我過去在 7 下生成的檔案匯入道系統,而要改所謂的 rwx------,也看無哪裡改...

3
slime
iT邦大師 1 級 ‧ 2015-09-30 11:19:29

有修改到 Windows 內建的幾個目錄, 或要修改主機 Registry , 或要超過 ACL 清單內的權限, 才會需要"管理員權限"

但是 Windows 預設的 Administrators 內, 就包含 Domain Administrators 了, 權限上應該是沒問題.

所以問題可能是該軟體公司使用的認證機制, 並非使用正規的 API 呼叫 Windows , 而是直接試著比對本機使用者清單, 或直接以該目錄的擁有者權限來處理.

遇到這種狀況, 先將之後的使用者暫時升級為管理員, 再以該帳號安裝, 安裝後再移除管理員權限, 通常就可以治標了.

superfan iT邦新手 4 級 ‧ 2015-10-01 14:18:05 檢舉

感謝回答
上次請廠商來公司喝咖啡,結果他很肯定的跟我說,Domain Administrators不是最高權限
開啟本機的Administrator帳號才是真正的最高權限,說是Windows 7的BUG
叫我們這次先把軟體完整移除後再開啟預設的Administrator帳號來安裝
當下我被搞得一頭霧水,他說他用本機的Administrator帳號安裝都不會遇到問題

前輩建議的方法我之前有想過,後來嫌麻煩就打消念頭
說不定當初如果堅持用這方法,就不會衍生這些問題
不過,現在主管已直接要求廠商建議的安裝方式,礙於時間上的壓力,可能沒機會試了
(因為我不會那套軟體,沒辦法另外使用電腦測試會不會有其他問題)

0
窮嘶發發發
iT邦高手 1 級 ‧ 2015-09-30 15:39:19

本機安裝軟體要有 本機的 系統管理者的權限
一般來說就是指 Administrators 群組內的人
當 本機 加入網域 會把 Domain Admin 這個群組加進來

所以只要是網域管理者 會同時是本機的 系統管理者

你如果希望 網域使用者 能夠安裝軟體,建議你只要加入本機的 管理者群組就好
除非 本機會有多使用者,你希望他們的權限跟 本機 的系統管理者一樣
那就直接把 Domain User 群組 加到 本機的 Administrators 也可以

但通常不建議給使用者 本機系統管理者的權限,這樣USER 習慣差的話
亂裝軟體,本機系統很容易崩潰,到時候你只能重灌而已浪費你的時間

看更多先前的回應...收起先前的回應...
superfan iT邦新手 4 級 ‧ 2015-10-01 11:48:19 檢舉

感謝回答
你誤會我的意思了,我可能沒有打得很清楚

我是使用Domain Admin權限安裝出現問題,然後反應廠商
對方的回答是叫我不要用網域上的任何帳號
然後在本機開啟Administrator這帳號來安裝
所以我才想說,是不是在本機上的Administrator這帳號(不是指加入本機Admin權限)
安裝軟體才不會衍生其他問題,想知道大家的做法

那你安裝的時候建議你對著安裝程式右鍵以系統管理員身分執行
這樣子不管用哪一種身分應該都要能夠正確安裝才對
還有另外,安裝好之後,請到軟體的安裝目錄,把檔案的 建立者改成 本機的 Administrator
這樣也能迴避這個機制,還有你所謂的出問題
你應該 PO 出 出問題的狀況,他的訊息回應,這樣我們也很難判斷問題原因

剛剛 忘記先看你的補充說明,我只能說天啊,你是用這樣的態度在做事情
我自己無論如何都會先試過所有的方法,所以長久以來我都是廠商的惡夢
因為我會找出不靠廠商就能作的方法,他永遠無法從我這裡得到後續的維護合約
這種能力是IT人員必須要鍛鍊的,但如果你打算當CIO,只要妳評估成本你能接受
那就照你想的作,我們IT人員就是最低成本最高效益最佳服務的目標而已

還有 他的軟體可以到隨便一台進行綠色封裝,封裝之後
就能到任何一台電腦直接執行,根本不需要每一台安裝
我都是這麼對付這種跟不上時代的軟體的

superfan iT邦新手 4 級 ‧ 2015-10-02 13:38:16 檢舉

感謝前輩指教
我是使用"以系統管理員身分執行"沒錯
但是沒用" 把檔案的 建立者改成 本機的 Administrator "這方式

不好意思,因為我覺得
" 出問題的狀況,他的訊息回應 "
內容跟我想知道的答案沒有直接關係,所以選擇直接忽略
我晚點補充

至於你說的" 我只能說天啊,你是用這樣的態度在做事情 "
我是不知道你從哪裡看出來我的做事態度,哈
畢竟環境資源有限,我也沒使用過那套軟體更不會操作
所以只能測試軟體是否可以開啟,必須要等使用者正式操作後才知道

另外,我目前還沒有洩漏出是哪家的軟體
所以不懂你說的 "他的軟體可以到隨便一台進行綠色封裝,封裝之後
就能到任何一台電腦直接執行,根本不需要每一台安裝"
這句話是什麼意思
還請前輩指教

不好意思,每個人都有對某些方法不熟的時候,如有得罪請見諒
綠色封裝,請上網 估狗一下
然後,你可以自己 try 一下我說的方式
在 win 7 安裝軟體如果選 以系統管理員安裝
建立者會是用 系統管理者,而不是 Administrator
這對某些軟體會有某些問題,因此我遇到這種軟體的時候
都會用這種方式去處哩,還有,某些軟體執行的時候要用相容模式
或是用系統管理者去執行,誠如其他資深邦友們說的
這是軟體的 BUG,但你們已經花錢買了這個軟體
軟體公司沒辦法馬上修改這是現實面,你要嘛解決如何安裝的問題
要嘛跟老板說因為軟體公司說怎樣怎樣,所以你只能怎樣怎樣
我的工作習慣是 第一個 不要讓老闆去溝通去指示該如何作
第二個 協力廠商的處理永遠都跟不上我自己處理 第三個 讓用戶面對問題是我自己能力不足
第四個 我自己處理學到的永遠是最多的 第五個 找其他可行的替代方案,降低公司損失

superfan iT邦新手 4 級 ‧ 2015-10-07 09:49:07 檢舉

感謝前輩指導
可能我理解程度比較差,所以只是單純不懂你指的是什麼意思
有那邊處理得不好,當然歡迎指教

我不是問綠色封裝是什麼東西,是因為不確定是否任何一套軟體都可以使用
所以想說你不知道是什麼軟體的情況下,為什麼那麼篤定可以封裝

至於安裝方式小弟已筆記下來,下次有遇到類似的狀況可以嘗試看看

至於處理過程,並不是那麼的單純,簡單來說
新手工程師一開始就告知錯誤的安裝方式,造成後續一堆問題
(維護合約中有包含安裝升級服務,但因為對方未先評估安裝環境,
造成來訪時無法安裝,然後第一時間跟我們說合約上沒有含安裝,
叫我們調整後自行安裝)
我也知道請廠商處理問題會很久,所以第一時間也都先自己處理
但後來問題真的太多,主管受不了就直接請廠商過來喝咖啡
才衍生出Administrator使用者的問題

至於讓用戶面對問題,這點的確是我自己能力不足
因為我不精通該軟體,所以無法先測試出哪裡有問題
根據你的說法,一個資訊人員必須要精通各式各樣的軟體
看樣子我可能不是很適合這途

WilliamHuang
iT邦研究生 1 級 ‧ 2015-10-01 11:46:15
【**此則訊息已被站方移除**】
0
mingway
iT邦新手 4 級 ‧ 2015-10-08 18:28:01

您好,您提到的問題我也有遇到--是知名的繪圖軟體嗎?

我的狀況,將網域用戶加入本機管理員群組後,安裝還是會遇到問題,應該是如何大神所說
但也試過 按下右鍵選《以系統管理者身分執行》,也是沒法度
但這個問題並不是每一部電腦都會出現...

最後使用本機管理員帳號登入,就可以完成安裝

superfan iT邦新手 4 級 ‧ 2015-10-11 01:22:29 檢舉

您好,沒錯,是知名的繪圖軟體...我們講的應該是同一套
近期問題還蠻多的,甚至出現跟win7更新檔有衝突
有點傻眼...

mingway iT邦新手 4 級 ‧ 2015-10-12 14:43:51 檢舉

您好,我剛剛在官方網站上找到一份資料
http://knowledge.autodesk.com/customer-service/installation-activation-licensing/get-ready/prepare-system

由這一份資料看來,Domain User Administrative permissions還是不夠的。

0
thomaskao67
iT邦新手 5 級 ‧ 2016-05-31 18:22:16

你好
我遇到的問題比較不一樣
我是在加入AD的WIN7使用AD管理權限安裝了Itools 3.3.2.6版本
但在執行軟體時一定要使用管理者權限才能連結到手機
如果不使用管理者權限是可以開啟軟體但無法抓到手機
而我本身使用WIN10的作業系統也在AD下
但不會遇到這樣的情況可以順利使用軟體
不知道該如何處理
求救~~~~~~~~~~

我要發表回答

立即登入回答