如何讓普通的域使用者有安裝軟體的許可權？現在給客戶部署了活動目錄，客戶要求 普通的域使用者也可以自己安裝軟體。不知道如何設定，希望大家幫幫忙！我告訴客戶的做法如下：不知道可行性如何？

1、在域中新建一個域賬戶比如setup設定密碼永不過期使用者不能更改密碼，新增到域管理員組中。
2、修改域組策略計算機配置-windows設定---安全設定---本地策略---使用者許可權分配-找到 拒絕本地登陸 這個策略：啟用這個策略 將新建的使用者如setup新增到裡面。
3、域使用者要安裝軟體的時候：右鍵點選需要安裝的軟體選擇：ruan as （即 執行方式） 
  選擇  下列使用者：輸入 新建的使用者名稱密碼 （如 域名\setup）安裝即可。

回答：根據您的描述，我對這個問題的理解是：您需要讓普通域使用者可以在域中的客戶機上有安裝軟體的許可權。普通使用者之所以不能安裝軟體，一般是缺少對登錄檔的修改許可權以及對安裝目標資料夾的修改許可權。只有少陣列成員擁有該許可權，如本地管理員組和Power User組的成員，有的軟體必須要本地管理員組的成員才能安裝。

所以，最直接的辦法是將域使用者帳號加到客戶機的本地管理員組或者是Power Users組，絕大多數使用者會這樣去做，也是推薦的方法。

如果此方法不符合客戶的安全規定，也有相對複雜一些的做法，極少數使用者會用到：
1．記錄安裝這些軟體之前的登錄檔和資料夾狀態您看到的文章來自活動目錄seohttp://gnaw0725.blog.51cto.com/156601/d-1

2．管理員安裝這些軟體
3．完成後，確定這些軟體會修改哪些登錄檔鍵值和資料夾。
4．然後在每個登錄檔鍵值和資料夾上賦予普通使用者相應的許可權
……

除此之外，對於某些軟體：
可以將軟體使用組策略分發給計算機自動安裝，使用者不必手動安裝，但僅限於某些軟體，需要經過測試才能使用此方法。這裡是分發.msi格式安裝檔案的一個參考：http://support.microsoft.com/kb/887405/en-us

還有很多方法，但都需要根據要安裝的軟體和客戶的策略是否允許。

您的思路是可行的，但需要進行一些補充。因為讓每個使用者都知道域管理員的密碼是極不安全的做法，即使您拒絕本地登入。（就安全性而言, 將域使用者加到他的工作機的本地管理員組會更好。）

如果希望使用run as的方法，建議編寫管理員安裝的run as登入指令碼，然後使用script encoder對指令碼進行編碼加密
如何使用run as請參考：http://support.microsoft.com/?id=294676

穆驥 微軟全球技術支援中心