我有一个特定的问题,如您所知,标准用户确实有能力安装“当前用户”软件,例如“Viber”和许多其他软件。
我想限制标准用户安装“当前用户”软件,我搜索了解决方案但找不到正确/正常的方法来做到这一点。
一个解决方案阻止所有软件安装,甚至管理员也无法安装。我发现的其他解决方案都不是合适的解决方案。
我想限制使用 UAC 安装“当前用户”软件的能力(我认为这必须是正确的方式,就像普通软件要求输入管理员密码一样,我希望“当前用户”软件也一样,UAC 要求输入管理员密码。)
这个问题的解决方案是什么,您通常如何在域环境中实现它?
谢谢,希望我能很好地解释我的问题,如果您知道确切问题的答案,请回答。
答案1
“当前用户”安装不需要用户正常工作所需的任何权限。安装程序工具创建文件和文字处理器创建文件没有区别。
“所有用户”安装仅需要管理员密码,因为他们写入的目录对于当前用户来说是不可写的。
当用户请求权限去做一些他们不被允许做的事情时,UAC 就会出现,但只要用户被允许将他们的工作保存到他们的个人文件夹中,他们就被允许创建文件和目录,并且不存在可以撤销的更具体的权限。
答案2
DisableUserInstalls 方法
有一个注册表项可能对您有用。
导航到(或创建)密钥:
HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer
创建一个新的 DWORD 值:
DisableUserInstalls
- 1 = 没办法,何塞
- 0 = 正常运行
此链接有更多关于该主题的信息。
请记住,使用此方法......如果一个程序不使用 MSI,而且够棘手了……Windows 无法知道它是一个安装程序。
AppLocker 方法
Windows 7 还引入了一项功能,称为应用程序锁它可以让您将特定应用程序以及应用程序对特定 DLL 的使用列入白名单或黑名单。 更多详情请见此处。
请记住,使用此方法,除非您仅使用白名单,否则可能有相当简单的方法可以解决这个问题(我猜测是这样,但不确定)。我认为从 IT 角度来看,黑名单更易于管理。这取决于您的用户和您想要施加的控制级别。
您需要尝试这两种方法,看看哪一种方法更适合您。我希望其中一种方法能奏效。
评论
我做过读到你想要一个 UAC 弹出窗口。不确定这里是否会出现这种情况。请阅读@SimonRichter 的回答。这是对 UAC 的一个很好的解释。
我也在please only answer if you know the answer to exact problem超级用户中读到过......这种说法可能会阻止您获得唯一可行的答案。
我无意冒犯,但是如果你不喜欢某个答案,就不要接受。这就是这里的运作方式。 我知道这看起来很奇怪(因为你问了这个问题)但你的问题也适用于未来可能想要其他解决方案的用户。