Active Directory разрешить установку только пользователю

Question

В моей сети активных каталогов я хочу удовлетворить своего босса, предоставив ему полуадминистративные разрешения, которые позволят ему устанавливать программы в качестве администратора в чрезвычайных ситуациях на всех компьютерах, но не жертвовать целостностью сети. Могу ли я создать какой-либо тип настройки группы администратора или группы, которые позволили бы ему предоставить базовые права пользователя + возможность устанавливать программы / драйверы в качестве администратора? Я не хочу давать ему Админ домена или что-то сумасшедшее, просто обойти UAC.

Я собирался дать ему разрешение обойти UAC через объект групповой политики, но нужно ли мне создавать целый объект групповой политики только для него? Это слишком много?

Answer 1

ИМО, если вы позволяете ему устанавливать вещи (и вы ему не доверяете), то вы уже поставили под угрозу целостность сети. :)

Сказав это, вот предложение:

Используйте настройки групп ограниченного доступа GP, чтобы добавить свою учетную запись домена в группу "Опытные пользователи" на рабочих станциях.

Предостережение: это может не позволить ему установить драйверы, так как они системного уровня и требуют разрешений администратора.

Опытные пользователи могут устанавливать программное обеспечение, но не являются полными администраторами. Для получения дополнительной информации о различиях см. Этот вопрос SU: Разница между опытным пользователем и администратором

Учебные ссылки:

• Добавление пользователей в локальные группы безопасности с помощью групповой политики (специально для добавления пользователей в группу «Опытные пользователи»)
• Делать это с предпочтениями групповой политики вместо