Могу ли я использовать AD для управления тем, кто может устанавливать программное обеспечение в зависимости от его роли?

Вы можете использовать политики AppLocker, чтобы разрешить пользователям запускать или запретить пользователям запускать типичные файлы установщика Windows в зависимости от членства в группах. Однако перехват файлов .exe требует значительного объема планирования и аудита, а также длительного обслуживания, поскольку вам нужно будет настроить AppLocker на разрешение запуска только выбранных файлов .exe.

Вы можете запретить пользователям устанавливать программное обеспечение на общесистемном уровне, не предоставляя права администратора на клиентском компьютере. Правильный способ предоставить некоторым пользователям возможность вносить административные изменения на клиентских компьютерах — создать для них специальную учетную запись администратора, а затем управлять доступом через эту учетную запись. Предоставление прав администратора учетным записям обычных пользователей представляет собой угрозу безопасности, и его следует избегать; Точно так же вам не следует предоставлять этим учетным записям права администратора домена только потому, что это проще всего.

Самый простой способ сделать это — создать группу для учетных записей администратора инженера, а затем создать объект групповой политики, чтобы добавить группу инженеров-администраторов в локальную группу администраторов на клиентских компьютерах.