Как разрешить пользователям домена устанавливать программы

Использование групповой политики для удаленной установки программного обеспечения

В этой статье описывается, как использовать групповую политику для автоматического распространения программ для клиентских компьютеров или пользователей.

Применяется к: Windows Server 2012 R2
Оригинальный номер базы знаний: 816102

Сводка

Вы можете использовать групповую политику для распространения компьютерных программ с помощью следующих методов:

• Назначение программ Вы можете назначить распространение программ пользователям или компьютерам. Если вы назначаете программу пользователю, она устанавливается при входе пользователя на компьютер. При первом запуске программы пользователем установка завершается. Если вы назначаете программу компьютеру, она устанавливается при запуске компьютера и доступна для всех пользователей, выполнивших вход на компьютер. При первом запуске программы пользователем установка завершается.
• Публикация программ Вы можете опубликовать распространение программ для пользователей. Когда пользователь выполняет вход на компьютер, опубликованная программа отображается в диалоговом окне Установка и удаление программ, где ее можно установить.

Для автоматической установки групповой политики Windows Server 2003 с помощью программы, работающей в автоматическом режиме, требуются клиентские компьютеры под управлением Microsoft Windows 2000 или более поздней версии.

Создание точки распространения

Чтобы опубликовать или назначить компьютерную программу, создайте точку распространения на сервере публикации, выполнив следующие действия:

1. Войдите на сервер как администратор.
2. Создайте общую сетевую папку, в которую будет помещен пакет установщика Windows (MSI-файл), который требуется распространить.
3. Задайте разрешения для общей папки, чтобы разрешить доступ к пакету распространения.
4. Скопируйте или установите пакет в точку распространения. Например, чтобы распространить MSI-файл, запустите административную установку ( setup.exe /a ), чтобы скопировать файлы в точку распространения.

Создание объекта групповой политики

Чтобы создать объект групповой политики, который будет использоваться для распространения пакета программного обеспечения, выполните следующие действия:

1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
3. Откройте вкладку Групповая политика и щелкните Создать.
4. Введите имя для новой политики и нажмите клавишу ВВОД.
5. Щелкните Свойства и откройте вкладку Безопасность.
6. Снимите флажок групповая политика для групп безопасности, к которым эта политика не применяется.
7. Установите флажок Применить групповую политику для групп, к которым будет применяться эта политика.
8. После этого нажмите кнопку ОК.

Назначение пакета

Чтобы назначить программу компьютерам под управлением Windows Server 2003, Windows 2000 или Windows XP Professional или пользователям, которые выполняют вход на одну из этих рабочих станций, выполните следующие действия:

1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
3. Перейдите на вкладку Групповая политика, выберите нужную политику, затем нажмите Изменить.
4. В разделе Конфигурация компьютера разверните узел Конфигурация программ.
5. Щелкните правой кнопкой мыши пункт Установка программ, наведите указатель на команду Создать, а затем выберите пункт Пакет.
6. В диалоговом окне Открыть введите полный UNC-путь к нужному общему пакету установщика. Например, \\\\.msi .

Важно! Не используйте кнопку Обзор для доступа к расположению. Убедитесь, что используется UNC-путь к общему пакету установщика.

Публикация пакета

Чтобы опубликовать пакет для пользователей компьютера и сделать его доступным для установки из списка Установка и удаление программ в панели управления, выполните следующие действия:

1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
3. Перейдите на вкладку Групповая политика, выберите нужную политику, а затем нажмите Изменить.
4. В разделе Конфигурация пользователя разверните узел Конфигурация программ.
5. Щелкните правой кнопкой мыши пункт Установка программ, наведите указатель на команду Создать, а затем выберите пункт Пакет.
6. В диалоговом окне Открыть введите полный UNC-путь к нужному общему пакету установщика. Например, \\file server\share\file name.msi .

Важно! Не используйте кнопку Обзор для доступа к расположению. Убедитесь, что используется UNC-путь к общему пакету установщика.

Примечание. Приведенные ниже действия могут отличаться в зависимости от установленной на компьютере версии операционной системы Windows. В этом случае для выполнения таких действий следует обратиться к документации к продукту.

1. Войдите на рабочую станцию под управлением Windows 2000 Professional или Windows XP Professional с помощью учетной записи, для которой был опубликован пакет.
2. В Windows XP нажмите кнопку Пуск и выберите Панель управления.
3. Дважды щелкните пункт Установка и удаление программ и нажмите Установка программ.
4. В списке Установка программ из локальной сети выберите опубликованную программу и нажмите кнопку Добавить. Программа установлена.
5. Нажмите кнопку ОК, а затем нажмите кнопку Закрыть.

Повторное развертывание пакета

В некоторых случаях может потребоваться повторное развертывание пакета программного обеспечения (например, при обновлении или изменении пакета). Чтобы выполнить повторное развертывание пакета, следуйте указанным ниже действиям:

1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
3. Перейдите на вкладку Групповая политика, выберите объект групповой политики, который был использован для развертывания пакета, затем нажмите Изменить.
4. Разверните контейнер Конфигурация программ, содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.
5. Выберите контейнер установки программного обеспечения, содержащий пакет.
6. В правой области окна Групповая политика щелкните правой кнопкой мыши программу, перейдите к пункту Все задачи, затем нажмите Развернуть приложение заново. Появится следующее сообщение:

Повторное развертывание этого приложения приведет к повторной установке приложения везде, где оно уже установлено. Продолжить?

Удаление пакета

Чтобы удалить опубликованный или назначенный пакет, выполните следующие действия:

1. Запустите оснастку «Active Directory — пользователи и компьютеры», нажав кнопку Пуск, затем перейдите к разделу Администрирование и нажмите Active Directory — пользователи и компьютеры.
2. В дереве консоли щелкните правой кнопкой мыши домен и выберите Свойства.
3. Перейдите на вкладку Групповая политика, выберите объект групповой политики, который был использован для развертывания пакета, затем нажмите Изменить.
4. Разверните контейнер Конфигурация программ, содержащий элемент установки программного обеспечения, который использовался для развертывания пакета.
5. Выберите контейнер установки программного обеспечения, содержащий пакет.
6. В правой области окна Групповая политика щелкните программу правой кнопкой мыши, наведите указатель на пункт Все задачи и нажмите Удалить.
7. Выполните одно из следующих действий:
   • Выберите Немедленное удаление этого приложения с компьютеров всех пользователей, затем нажмите кнопку ОК.
   • Выберите Разрешить использование уже установленного приложения, но запретить новую установку, затем нажмите кнопку ОК.
8. Закройте оснастку «Групповая политика», нажмите кнопку ОК, затем закройте оснастку «Active Directory — пользователи и компьютеры».

Устранение неполадок

Опубликованные пакеты отображаются на клиентском компьютере после использования групповой политики для их удаления.

Такая ситуация может возникнуть, если пользователь установил программу, но не использовал ее. Установка завершается при первом запуске опубликованной программы пользователем. После этого групповая политика удаляет программу.

Обратная связь

Были ли сведения на этой странице полезными?

Как разрешить пользователям домена устанавливать программы

Сообщения: 591
Благодарности: 4

Здравствуйте!
ЛВС, поднят домен, контроллер домена на Вин 2003 сервер. Клиенты на Вин 2000 проф и Вин ХР проф. Ставлю в АД пользователю группу Пользователи домена. На клиентской машине под этой учетной записью ничего нельзя установить. А это необходимо. Ставлю группу Администраторы домена, все в норме. Но давать пользователям такие права не есть гуд. Не подскажите какие дать права пользователю, чтобы он чувствовал бы себя как локальный администратор, но к котроллеру имел бы ограниченный доступ.

Сообщения: 191
Благодарности: 19

YDen,
на локальной машине входите с правами админа, заходите в управление компьютером, в «Управлении компьютером» в группу администраторов добавить пользователя домена.

——-
Спасибо — много, бутылки хватит.

Последний раз редактировалось monkkey, 28-02-2008 в 14:18 .

Администрирование политик ограниченного использования программ

Этот раздел предназначен для ИТ-специалистов и содержит процедуры для администрирования политик управления приложениями с помощью политик ограниченного использования программ (SRP), начиная с Windows Server 2008 и Windows Vista.

Введение

Политики ограниченного использования программ — это основанная на групповых политиках функция, которая выявляет программы, работающие на компьютерах в домене, и управляет возможностью выполнения этих программ. Эти политики позволяют создать конфигурацию со строгими ограничениями для компьютеров, где разрешается запуск только определенных приложений. Политики интегрируются с доменными службами Active Directory и групповой политикой, но также могут настраиваться на изолированных компьютерах. Подробные сведения о политиках ограниченного использования программ см. в разделе Политики ограниченного использования программ.

Начиная с Windows Server 2008 R2 и Windows 7, вместо политики SRP или вместе с ней в рамках стратегии управления приложениями можно использовать Windows AppLocker.

Сведения о способах выполнения определенных задач с помощью политик ограниченного использования программ см. в следующих разделах:

• Определение списка разрешений и инвентаризации приложений для политик ограничений программного обеспечения
• Работа с правилами политик ограниченного использования программ
• Использование политик ограничений программного обеспечения для защиты компьютера от вируса электронной почты

Открытие окна «Политики ограниченного использования программ»

• Для локального компьютера
• Для домена, сайта или подразделения, и вы находитесь на сервере-члене или на рабочей станции, присоединенной к домену.
• Для домена или подразделения, а также на контроллере домена или на рабочей станции с установленными средствами удаленного сервера Администратор istration
• Для сайта и на контроллере домена или на рабочей станции с установленными средствами удаленного сервера Администратор istration

Для локального компьютера

1. Откройте окно «Локальные параметры безопасности».
2. В дереве консоли щелкните Политики ограниченного использования программ. Где?
   • Параметры безопасности/Политики ограниченного использования программ

Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования.

Для домена, сайта или подразделения: вы находитесь на рядовом сервере или на рабочей станции, присоединенной к домену.

1. Откройте консоль управления (MMC).
2. В меню Файл выберите команду Добавить или удалить оснастку и затем нажмите кнопку Добавить.
3. Щелкните элемент Редактор объектов групповой политики и затем нажмите кнопку Добавить.
4. В окне Выбор объекта групповой политики нажмите кнопку Обзор.
5. Найдите объект групповой политики, выберите объект групповой политики (GPO) в соответствующем домене, сайте или подразделении или создайте новый объект, а затем нажмите кнопку «Готово«.
6. Нажмите кнопку Закрыть, а затем кнопку ОК.
7. В дереве консоли щелкните Политики ограниченного использования программ. Где?
   • Объект групповой политики [имя_компьютера] Policy/Computer Configuration или User Configuration/Windows Settings/Security Settings/Software Restriction Policies

Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена».

Для домена или подразделения: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

1. Откройте консоль управления групповыми политиками.
2. В дереве консоли правой кнопкой мыши щелкните объект групповой политики, для которого требуется открыть политики ограниченного использования программ.
3. Нажмите кнопку Изменить, чтобы открыть объект групповой политики для правки. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.
4. В дереве консоли щелкните Политики ограниченного использования программ. Где?
   • Объект групповой политики [имя_компьютера] Policy/Computer Configuration или User Configuration/Windows Settings/Security Settings/Software Restriction Policies

Для выполнения этой процедуры необходимо быть членом группы «Администраторы домена».

Для сайта: вы находитесь на контроллере домена или на рабочей станции, где установлены средства удаленного администрирования сервера.

1. Откройте консоль управления групповыми политиками.
2. В дереве консоли щелкните правой кнопкой мыши сайт, для которого требуется задать групповую политику. Где?
   • Active Directory — сайты и службы [имя_контроллера_домена.имя_домена]/Sites/Site
3. Щелкните объект в списке Ссылки объекта групповой политики, чтобы выбрать существующий объект групповой политики (GPO), а затем нажмите кнопку Изменить. Также можно нажать кнопку Создать, чтобы создать новый объект групповой политики, а затем нажать кнопку Изменить.
4. В дереве консоли щелкните Политики ограниченного использования программ. Where
   • Объект групповой политики [имя_компьютера] Policy/Computer Configuration или User Configuration/Windows Settings/Security Settings/Software Restriction Policies

• Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена».
• Чтобы задать параметры политики, которые будут применяться к компьютерам независимо от пользователей, входящих в систему, щелкните Конфигурация компьютера.
• Чтобы задать параметры политики, которые будут применяться к пользователям независимо от компьютера, с которого они входят в систему, щелкните Конфигурация пользователя.

Создание новых политик ограниченного использования программ

1. Откройте окно «Политики ограниченного использования программ».
2. В меню Действие щелкните Создать политику ограниченного использования программ.

• Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды.
  • Если новые политики ограниченного использования программ создаются для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
  • Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы «Администраторы домена».

  Добавление или удаление назначенного типа файлов

  1. Откройте окно «Политики ограниченного использования программ».
  2. В области сведений дважды щелкните элемент Назначенные типы файлов.
  3. Выполните одно из следующих действий.
     • Чтобы добавить тип файла, введите расширение имени файла в поле Расширение имени файла, а затем нажмите кнопку Добавить.
     • Чтобы удалить тип файла, щелкните этот тип в окне Назначенные типы файлов и нажмите кнопку Удалить.
  • Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой добавляется или удаляется назначенный тип файлов.
    • Если назначенный тип файлов добавляется или удаляется для локального компьютера: минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы или аналогичной.
    • Если новые политики ограниченного использования программ создаются для компьютера, присоединенного к домену, то эту процедуру могут выполнить члены группы «Администраторы домена».

    Запрет применения политик ограниченного использования программ к локальным администраторам

    1. Откройте окно «Политики ограниченного использования программ».
    2. В области сведений дважды щелкните элемент Применение.
    3. В разделе Применять политики ограниченного использования программ к следующим пользователям выберите вариант всех пользователей, кроме локальных администраторов.
    • Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.
    • Может понадобиться создать новый параметр политики ограниченного использования программ для объекта групповой политики, если это еще не сделано.
    • Если на компьютерах организации пользователи часто входят в локальную группу «Администраторы», то этот параметр можно не включать.
    • Если параметр политики ограниченного использования программ определяется для локального компьютера, то эта процедура предотвращает применение политик ограниченного использования программ к локальным администраторам. Если параметр политики ограниченного использования программ определяется для сети, отфильтруйте параметры политики пользователей в зависимости от членства в группах безопасности с помощью групповой политики.

    Изменение уровня безопасности по умолчанию для политик ограниченного использования программ

    1. Откройте окно «Политики ограниченного использования программ».
    2. В области сведений дважды щелкните элемент Уровни безопасности.
    3. Щелкните правой кнопкой мыши уровень безопасности, который следует установить по умолчанию, и выберите команду По умолчанию.

    В некоторых каталогах задание уровня безопасности Запрещено в качестве уровня по умолчанию может отрицательно сказаться на работе операционной системы.

    • Для выполнения этой процедуры требуются различные административные учетные данные в зависимости от среды, в которой изменяется уровень безопасности по умолчанию для политик ограниченного использования программ.
    • Может понадобиться создать новый параметр политики ограниченного использования программ для данного объекта групповой политики, если это еще не сделано.
    • В области сведений текущий уровень безопасности по умолчанию обозначается черным кружком с отметкой. Если щелкнуть правой кнопкой мыши текущий уровень безопасности по умолчанию, то в меню не появится команда По умолчанию.
    • Чтобы задать исключения для уровня безопасности по умолчанию, создаются правила политики ограниченного использования программ. Если уровень безопасности по умолчанию имеет значение Не ограничено, то в правилах можно указывать программное обеспечение, запуск которого не разрешается. Если уровень безопасности по умолчанию имеет значение Запрещено, то в правилах можно указывать программное обеспечение, запуск которого разрешается.
    • Во время установки в политиках ограниченного использования программ для всех файлов в системе задается уровень безопасности по умолчанию Не ограничено.

    Применение политик ограниченного использования программ к библиотекам DLL

    1. Откройте окно «Политики ограниченного использования программ».
    2. В области сведений дважды щелкните элемент Применение.
    3. В разделе Применять политики ограниченного использования программ к следующим объектам выберите вариант ко всем файлам программ.
    • Для выполнения данной процедуры необходимо входить в группу «Администраторы» на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы «Администраторы домена».
    • По умолчанию политики ограниченного использования программ не проверяют библиотеки динамической компоновки (DLL). Проверка библиотек DLL может понизить производительность системы, поскольку политики ограниченного использования программ должны вычисляться при каждой загрузке библиотеки DLL. Однако проверку библиотек DLL можно выполнять, если есть опасность заражения вирусом, затрагивающим библиотеки DLL. Если уровень безопасности по умолчанию имеет значение Запрещено и включена проверка библиотек DLL, то необходимо создать правила политик ограниченного использования программ, которые разрешают выполнение каждой библиотеки DLL.

    Разрешение пользователю на установку программ в домене

    Доброго времени суток!
    Такая ситуация. Есть пользователь, который обслуживает рабчие станции в домене (установка ПО, заведение в домен).
    Начальство попросило сделать так, чтобы пользователь мог ставить под своей учеткой набор ПО и завести комп в домен например, а все остальные разрешения на доступ к внутренним сетевым папкам ему был закрыт, и чтобы он не мог под своими креденшелами заходить по РДП на сервера. Есть ли такая возможность? Спасибо за внимание.

    Лучшие ответы ( 1 )
    94731 / 64177 / 26122
    Регистрация: 12.04.2006
    Сообщений: 116,782
    Ответы с готовыми решениями:

    Разрешение на установку программ пользователям домена
    Здравствуйте, у меня такой вопрос, как давать разрешение на установку и удаление программ.

    Разрешение на установку программ в Windows 7
    Всем привет! Установил вчера Вин7 и столкнулся с такой проблемой — при установке программ, в тот.

    Запрашивается разрешение на установку неизвестной программы
    Доброго времени суток, периодически появляется вот такое окно несколько раз подряд потом на какое.

    Вирус устанавливает сторонние программы, или запрашивает разрешение на их установку
    Скачал драйвера, а там оказался вирус, который начал устанавливать программы. Видимо часть программ.

    252 / 237 / 52
    Регистрация: 12.12.2012
    Сообщений: 1,978
    Регистрация: 13.01.2016
    Сообщений: 12

    Вижу только подключение к домену, а на установку ПО, чтобы он мог миновать оконо ввода пароля админа. А просто запустил и установка пошла?

    353 / 165 / 61
    Регистрация: 01.06.2015
    Сообщений: 656

    

    Сообщение было отмечено Maks как решение

    Решение

    Сообщение от Bermudo

    чтобы пользователь мог ставить под своей учеткой набор ПО

    Задача не сложная на самом деле.
    По поводу установки софта, всё просто:
    1. Создаёте группу в домене которая будет иметь админские права на компах.
    2. Создаёте групповую политику, которая эту группу будет включать в локальные админы компов. Делаете распространение на компы домена, к которым необходимы права.
    Тут есть определённые тонкости и варианты настройки
    Вариант 1: в групповой политике жестко прописываете кто должен быть членом локальной группы администратора (не забудьте домен админа добавить)
    + политика выбьёт всех лишних пользователей из локальных админов
    + безопасность (см. п. выше)
    — если нужно кому-то на какой-то машине дать уникальные права, либо создавать новую политику, либо отказываться от механизма.
    Вариант 2: в групповой политике указываете, что глобальная группа должна быть членом локальной группы администраторов.
    + сохраняет членство локальной группы администраторов и добавляет новую группу
    + отлично комбинируется с вариантом 1 (например, первой политикой по варианту 1 всех выкидываете, кроме домен админа, а далее создаёте политики по варианту 2 и наполняете группы кем необходимо)
    * данная политика не должна распространятся на саму группу домена (на КД), иначе выбьет всех членов.

    Сообщение от Bermudo

    завести комп в домен

    тут немного сложнее, по умолчанию любой пользователь может ввести комп в домен, но возникает два тонких момента:
    1. упала винда, ОС переустановили, дали то же имя, пользователь пытается ввести в домен — в доступе отказано.
    Проблемы вызвана тем, что у пользователя нет права править уже созданный объект в AD.
    2. все новые компы будут появляться в CN=Computers,DC=domain,DC=local, что порой не всегда удобно, особенно когда нужна гибкая настройка GPO.
    Рекомендую следующее:
    1. сменить OU по умолчанию для новых компов ( redircmp ).
    2. делегировать права для группы админов рабочих станций на эту OU.
    Это позволит и более тонко настроить политики и исключить проблем с правами на объект AD

    Похожие публикации:

    1. Как заряжать эльф бар 800
    2. Как обновить блютуз на компьютере виндовс 10
    3. Как рисовать на айпаде стилусом для начинающих
    4. Как сменить почту в ютуб аккаунте