Active Directory, Локальные администраторы
 

Существует следующая проблема: для нормальной работы одной из программ требуется, чтобы пользователь сети являлся локальным администратором; если в локальные администраторы добавляем сетевую группу, любой пользователь может зайти по сетке на другой комп через скрытые сетевые ресурсы, такие как C$; локальным администратором на комп не можем поставить только определенного пользователя, т.к. на нем в сеть может зайти другой пользователь и уже не будет локальным администратором.
У меня такой вопрос: можно ли через групповую политику сделать так, чтобы при вводе пароля пользователь автоматически добавлялся в локальные администраторы, а при завершении сеанса - удалялся оттуда?
Сервер Windows 2003
Спасибо.

что за прога?
может можно обычным позьзвателям дать права на затипь в определенные ветки реестра и все?

Для установки обновления программы (которое происходит в автоматическом режиме), разрешение на запись в реестр не достаточно.

Если это только для одной проги надо, то может попробовать так - в ярлыке проги (если ярлыка нет, то сделать) поставить "запускать от имени", вписать туда "локального админа" (или кого там хочется) и разрешить винде сохранить пароль, тогда любой, кто будет садится за этот компьютер НЕ БУДЕТ локальным админом, но именно эта программа (именно через исправленный ярлык) будет запускаться с правами админа на этом компьютере (или с правими того, кто прописан в ярлыке). Только ярлычок должен валяться в All Users, чтобы он был один для всех.

Этот вариант тоже исключается, т.к. локальный администратор требуется при установке обновления, а файл обновления клиентской части запускает программа, если таковое имеется на сервере.

Есть еще какие-то идеи по этой теме?

Мдя...

Ну дак надо тогда добавлять в группу админы не пользователя а комп с которого они заходят.

Вобще с трудом разобрался, че там понаписано.

MaximB Может для доступа по сетке к другим компам это и прокатывает, но только вот обновление программы не проходит.