[astomper7]

Cruzenshtern, политиками можно, через Restricted Users. Создаете глобальную ГБ, например, LocalAdmins, в нее включаете доменных пользователей, которым даете права локального админа. Создаете GPO, в конфигурации компьютера в параметрах безопасности создаете группу с ограниченными правами (LocalAdmins), указываете, что она входит во встроенные (builtin) группы - администраторы, administrators. Все.

[exo]

Цитата Cruzenshtern:

З.Ы. Вопрос как раз про RODC. Если упадет канал интернета то юзеры Питерского офиса смогут залогиниться на своих компах? »

да.

Цитата Cruzenshtern:

Нужно чтобы юзеры могли сами там ставить себе на комп проги, без пароля »

можно попробовать группу опытные пользователи, это слегка урезанный админ.

[Cruzenshtern]

Цитата astomper7:

Cruzenshtern, политиками можно, через Restricted Users. Создаете глобальную ГБ, например, LocalAdmins, в нее включаете доменных пользователей, которым даете права локального админа. Создаете GPO, в конфигурации компьютера в параметрах безопасности создаете группу с ограниченными правами (LocalAdmins), указываете, что она входит во встроенные (builtin) группы - администраторы, administrators. Все. »

Спасибо! Но это же можно сделать в ГПО в "локальные пользователи и группы" или Ваша мысль более глубокая?

Цитата exo:

можно попробовать группу опытные пользователи, это слегка урезанный админ. »

Опытные пользователи не прошли. ПопробЫвал сейчас на рядовом юзере, применил политики, вышел из системы и зашел снова. При установке скайпа просит пароль и логин. Ввожу данные рядового юзера, пишет нужно повышение прав.

Нашел учетку проверенные пользователи, вот щас с ней попробую поэксперементировать.

Хотя по ссылке говорится следующие насчет опытных юзеров:

Опытные пользователи могут:
выполнять приложения, сертифицированные для Windows 2000 и Windows XP Professional, а также устаревшие приложения;
устанавливать программы, не изменяющие файлы операционной системы, и системные службы;
настраивать ресурсы на уровне системы, включая принтеры, дату и время, параметры электропитания и другие ресурсы панели управления;
создавать и управлять локальными учетными записями пользователей и групп;
останавливать и запускать системные службы, не запущенные по умолчанию.
Опытные пользователи не могут добавлять себя в группу "Администраторы". Они не имеют доступа к данным других пользователей на томе NTFS, если соответствующие разрешения этих пользователей не получены. Поскольку опытные пользователи могут устанавливать и изменять программы, работа под учетной записью группы "Опытные пользователь" при подключении к Интернету может сделать систему уязвимой для троянских коней и других программ, угрожающих безопасности.

[WindowsNT]

Установка программ — задача Администратора. Требует локальных административных полномочий.
Злоупотребление которыми, конечно же, неизбежно приведёт к вирусному поражению.

Фактически, вы просите криминал: "помогите мне уничтожить свою сеть".

[exo]

Цитата WindowsNT:

Фактически, вы просите криминал: "помогите мне уничтожить свою сеть". »

омг...

[Cruzenshtern]

Цитата WindowsNT:

Фактически, вы просите криминал: "помогите мне уничтожить свою сеть". »

Логично. Сам не хочу.

Скажите как мне действовать при вопросе юзера, а поставь мне скайп а то общаться надо?

Вижу только вариант, Заходить удаленно на комп под админом и ставить данное ПО. Потом юзеру останеться добавить ярлычок на раб.стол и пусть пользуется.

[exo]

Цитата Cruzenshtern:

а поставь мне скайп а то общаться надо? »

если я не ошибаюсь, то скайп можно поставить и через Windows Update, который вы настраиваете через GPO.
http://support.microsoft.com/kb/2692954 - или это только обновление.

Есть второй вариант - определите в компании список используемого ПО, и установите на все машины в ручную или через те же GPO

читать дальше »

[Xaegr]

Кроме групповых политик, если вы хотите чтобы пользователи сами могли заказывать себе ПО не имея административных полномочий, можно использовать, например, System Center Configuration Manager. Разумеется установку ПО всё равно придётся автоматизировать, просто пользователи уже смогут самостоятельно запускать установку разрешенного для них ПО.

[Cruzenshtern]

Скайп я для примера привел.
А как же ставить всякие обновления, того же самого adobe reader flash player и т.д. ??? Не бегать жеж по всем и вводить пароль.

И в догонку хотел спросить, как отключить подтверждении от удаленного компа на вход по РДП ??? Не могу найти.