Есть Домен 2008 в офисе центральном.

Есть офис в Питере пока workgroup.

Сопряжены офисы по ВПН на коробочных роутерах.

Есть мысль поставить в Питере RODC, чтобы вся инфа с центрального офиса AD текла в Питер.

Пока это все в планах, но есть одна проблема, я админ один и сижу в Москве. Нужно чтобы юзеры могли сами там ставить себе на комп проги, без пароля. Но всякие настройки ОС делать можно было только через пароль. Как это можно сделать через ГП?

Есть конешно одна мысль, сделать админом (руководителя) т.к. если из рядовых кого-то сделаешь админом, пароль и логин быстро разойдется по всем.

Спасибо всем заранее!

З.Ы. Вопрос как раз про RODC. Если упадет канал интернета то юзеры Питерского офиса смогут залогиниться на своих компах?

Cruzenshtern, политиками можно, через Restricted Users. Создаете глобальную ГБ, например, LocalAdmins, в нее включаете доменных пользователей, которым даете права локального админа. Создаете GPO, в конфигурации компьютера в параметрах безопасности создаете группу с ограниченными правами (LocalAdmins), указываете, что она входит во встроенные (builtin) группы - администраторы, administrators. Все.

З.Ы. Вопрос как раз про RODC. Если упадет канал интернета то юзеры Питерского офиса смогут залогиниться на своих компах? »
да.
Нужно чтобы юзеры могли сами там ставить себе на комп проги, без пароля »
можно попробовать группу опытные пользователи (http://www.oszone.net/2298/), это слегка урезанный админ.

Cruzenshtern, политиками можно, через Restricted Users. Создаете глобальную ГБ, например, LocalAdmins, в нее включаете доменных пользователей, которым даете права локального админа. Создаете GPO, в конфигурации компьютера в параметрах безопасности создаете группу с ограниченными правами (LocalAdmins), указываете, что она входит во встроенные (builtin) группы - администраторы, administrators. Все. »

Спасибо! Но это же можно сделать в ГПО в "локальные пользователи и группы" или Ваша мысль более глубокая? :)

можно попробовать группу опытные пользователи, это слегка урезанный админ. »

Опытные пользователи не прошли. Попробывал сейчас на рядовом юзере, применил политики, вышел из системы и зашел снова. При установке скайпа просит пароль и логин. Ввожу данные рядового юзера, пишет нужно повышение прав.

Нашел учетку проверенные пользователи, вот щас с ней попробую поэксперементировать.

Хотя по ссылке говорится следующие насчет опытных юзеров:

Опытные пользователи могут:
выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения;
устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
создавать и управлять локальными учетными записями пользователей и групп;
останавливать и запускать системные службы, не запущенные по умолчанию.
Опытные пользователи не могут добавлять себя в группу "Администраторы". Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены. Поскольку опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы "Опытные пользователь" при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности.

Установка программ — задача Администратора. Требует локальных административных полномочий.
Злоупотребление которыми, конечно же, неизбежно приведёт к вирусному поражению.

Фактически, вы просите криминал: "помогите мне уничтожить свою сеть".

Фактически, вы просите криминал: "помогите мне уничтожить свою сеть". »
омг...

Фактически, вы просите криминал: "помогите мне уничтожить свою сеть". »

Логично. Сам не хочу.

Скажите как мне действовать при вопросе юзера, а поставь мне скайп а то общаться надо?

Вижу только вариант, Заходить удаленно на комп под админом и ставить данное ПО. Потом юзеру останеться добавить ярлычок на раб.стол и пусть пользуется.

а поставь мне скайп а то общаться надо? »
если я не ошибаюсь, то скайп можно поставить и через Windows Update, который вы настраиваете через GPO.
http://support.microsoft.com/kb/2692954 - или это только обновление.

Есть второй вариант - определите в компании список используемого ПО, и установите на все машины в ручную или через те же GPO
http://social.microsoft.com/Forums/getfile/55341/

Кроме групповых политик, если вы хотите чтобы пользователи сами могли заказывать себе ПО не имея административных полномочий, можно использовать, например, System Center Configuration Manager. Разумеется установку ПО всё равно придётся автоматизировать, просто пользователи уже смогут самостоятельно запускать установку разрешенного для них ПО.

Скайп я для примера привел.
А как же ставить всякие обновления, того же самого adobe reader flash player и т.д. ??? Не бегать жеж по всем и вводить пароль.

И в догонку хотел спросить, как отключить подтверждении от удаленного компа на вход по РДП ??? Не могу найти.

И вдогонку хотел спросить, как отключить подтверждении от удаленного компа на вход по РДП ??? Не могу найти. »
какое подтверждение?

Спасибо! Но это же можно сделать в ГПО в "локальные пользователи и группы" или Ваша мысль более глубокая? »

Я имею в виду НЕ локальные политики!)

того же самого adobe reader flash player »
Использовать msi: Adobe Flash Player Distribution (http://www.adobe.com/products/flashplayer/distribution3.html).