Как мне управлять Active Directory для установки программ?

Question

Я установил DC в Windows Server 2008, и у меня есть XP и 7 клиентов, подключенных к домену. Как вы знаете, мы должны устанавливать программы на компьютеры, а пользователи домена по умолчанию ограничены и не могут устанавливать программы. И я доволен этим (что они не могут устанавливать программы).

Но время от времени мне приходится устанавливать программы на компьютеры, и я не хочу устанавливать программы с активным каталогом GPO и распространять пакеты .msi .

1.Если вы хотите установить программу на компьютер клиента, что вы делаете? Вы входите в систему с учетной записью домена, которая имеет возможность устанавливать программы? или вы входите в систему с учетной записью локального администратора?

2.Как я могу разрешить пользователю домена устанавливать обновления Windows? (по умолчанию пользователи домена не могут устанавливать обновления Windows)

3.Что делать, если вы хотите установить принтер на компьютер с ограниченными правами?Вы входите в систему локальным администратором или пользователем привилегированного домена, чтобы установить принтер для пользователя с ограничениями?

4.Не могли бы вы немного рассказать о вашем опыте управления Доменом на вашем рабочем месте? Я знаю много вещей о контроллерах домена и Active Directory, но у меня нет никакого опыта в этом. И теперь я должен управлять сетью.

Answer 1

Это, вероятно, больше относится к теме ServerFault.com, вопросы являются открытыми, и это больше, чем один вопрос, но они короткие и простые, поэтому я попытаюсь в этом разобраться. :)

1. Если мне придется установить его вручную. Я всегда захожу в систему с учетной записью администратора домена (или просто использую Run As ...). Учетные записи локальных администраторов отключены (и переименованы) практически во всех ситуациях.
   ServerFault.com имеет несколько вопросов и ответов, касающихся установки программного обеспечения на нескольких рабочих станциях:
   

   • https://serverfault.com/questions/273829/how-would-you-remotely-install-software-on-multiple-windows-xp-machines
   • https://serverfault.com/questions/266597/windows-software-deployment-and-patching-tools

2. Используйте Windows Server Update Services (WSUS) и групповую политику для управления им.

3. Принтеры контролируются через групповую политику. Мы размещаем большинство сетевых принтеров с серверов Windows, так как это значительно упрощает управление драйверами. В нашем объекте GPO для принтера есть настройки, позволяющие ограниченным пользователям разрешать установку драйверов для устройств класса принтера, а также некоторые другие настройки, которые обычно используются в Vista+. Фактическое назначение принтеров выполняется (в том же объекте групповой политики) через Предпочтения групповой политики (2008+), так как это упрощает применение на основе сложной логики. Например, мы назначаем определенные принтеры с определенными драйверами в зависимости от ОС, OU и IP-подсети.

4. Это слишком широкая вопроса на этом месте. Быть хорошим сетевым администратором требует гораздо большего, чем знания AD и DC. Документируйте все и документируйте каждое изменение (чтобы вы могли отменить его и т.д.). Люди всегда будут вас удивлять.

Кроме того, я бы предложил посетить сайт www.spiceworks.com. Это лучший формат для информации, которую вы, похоже, ищете, в то время как сайты Stack Exchange предназначены для единичных, практических вопросов и ответов.