AD - Разрешение запуска некоторого ПО с правами администратора
 

Ребят подскажите, как правильно разрешать пользователю запускать 2 программки (написаны на делфи) запускаться с правами администратора? эти программы периодически хотят обновляться и им нужны права админа для этого. Или же посадить определенную группу пользователей домена в группу "опытные пользователи" на локальном ПК?

Сделайте задачи в планировщике, которые будут запускать эти программы с наивысшими правами. Опытные пользователи начиная с Vista никаких отличий от обычных пользователей не имеют.

Создать на локальном компьютере учетную запись, с правами локального администратора, например ProgramAdmins. Добавить на рабочий стол батничек:
runas /noprofile /savecred /user:Имя ПК\ProgramAdmins notepad.exe (запустит блокнот от пользователя ProgramAdmins, который в свое время будет в локальных администраторах), ввести пароль от этой учетки.
Но учтите,если этот софт позволяет запускать другие приложения, он будет выполнен в контексте локального администратора.

При сохранённых учётных данных администратора — совершенно без разницы, позволяет или не позволяет.

Есть бесплатная утилита - AdmiLink. Может она подойдёт?

Т.е. пользователям надо давать админский пароль, чтоб они запускали чего захотят, вирусы в том числе.
Без Admilink не обойтись, потому что она скрывает админский пароль.

Угу. «AdmiLink» всяко лучше «runas» с сохранёнными учётными данными администратора.

Вот как раз именно в случае «AdmiLink» имеет смысл говорить про:

Цитата:

Цитата Trouble_Maker Но учтите,если этот софт позволяет запускать другие приложения, он будет выполнен в контексте локального администратора. »

Дело в том, что любое приложение со стандартным окном Save/Open это позволит сделать.

а через групповые политики на сервере это можно сделать?
обновы проги могут выйти в любой момент и приходится их сразу ставить, потому что если клиент не обновится, то в базу его не пускает. это проприетарное по организации.

либо может есть такое - на сервере в групповых политиках задать путь программы на пользовательской машине и как либо дать права этой программе? или это из области фантастики?)

пользователей в домене которым это нужно около 70

это программа разработка компании, при чем тут производитель? мне нужно знать как лучше сделать и все

Вот оно даже как… В таком случае, что мешает разработчикам компании прочитать учебник по программированию под Windows NT?

Переписать ПО таким образом, чтобы оно учитывало реалии сегодняшнего дня, а не прошлого века. Тогда не придётся заниматься извращениями.

и в чем же они учитываются? вы бы лучше помогли чем оценивать, работаем на том что есть, выбирать не приходится, а обновлять надо

это выходит тот же 2гис который не хочет работать без обновления данных, и ему тоже нужны права для обновления, если не знаете как через групповые политики это сделать то смысл предлагать другие варианты, переписать по не в моей компетенции и не в моих знаниях

В чем состоит процесс обновления? Если просто перезапись файлов в каталоге, то просто дайте права группе "Пользователь домена" / "Прошедшие проверку" (второе кажись правильнее будет) на полный доступ в каталог с программой и файлы внутри нее.

fractal90, я не планирую пересказывать через Вас разработчикам Вашей конторы все изменения от момента появления Windows NT.

Гадание на кофейной гуще и обсуждение неназванных сферических коней в вакууме не входит в список моих достоинств, сожалею. А вот Вы можете, взяв в руки Process Monitor, попытаться найти и затем обойти несуразности разработчиков. Одну возможную частность описал коллега James Marsh выше.

вот это уже мысль, а как дать права на это дело? думаю это все бы решило)

Просто перезапись

Надавайте разработчикам целебных пендюлей. В первую очередь именно они отвечают за обеспечение удобного, надёжного и безопасного механизма обновлений.
Если лично не можете - напишите директору служебную записку о том, что продукты жизнедеятельности отдела разработки служебного ПО должны учитывать общепринятые правила безопасности современных операционных систем.
Хотя какой, к чёрту "современных". Windows XP была написана 13 лет тому назад, а Windows 2000 - вообще 15.


А правильным решением является следующее
1. Формирование дистрибутива MSI, для обеспечения возможности автоматического обновления средствами групповых политик.
2. Если ПО должно обновляться очень быстро (без необходимости перезапуска компьютера), значит в его составе должна быть системная служба, которая будет проверять выход новых обновлений и выполнять установку в полностью автоматическом режиме.
В качестве примера могу назвать службу Mozilla maintenance service, которая обеспечивает автоматическое обновление Firefox, Thunderbird и других программ без участия пользователя.