我在一所小型学校兼职做网络/系统管理员。学校使用商业学生信息系统,每季度更新一次。服务器更新后,如果没有管理员在每台机器上手动运行更新安装程序,用户就无法访问 SIS。这种情况一直持续到现在。
我的前任竭尽全力锁定桌面。我猜是为了防止用户意外安装病毒等(我想补充一下,他们的努力失败了)。这似乎是 SIS 无法在没有管理员登录的情况下自动更新每个桌面的原因。在最近的一次更新之后,情况变得更糟。现在,用户甚至无法在没有提升权限的情况下正常使用该程序,更不用说安装更新了。
由于无法找到限制用户的设置,我不得不手动将每个用户添加到他们自己本地机器的管理员组中。当然,这意味着如果一台机器出现故障,该用户将无法使用其他用户的机器,直到我修好为止。
我假设我需要更改的安全设置在组策略编辑器中定义,但我似乎找不到在哪里。任何帮助都将不胜感激。
PS 如果您还没猜到,我没有接受过 Windows 管理方面的培训。我通过阅读帮助文件学到了足够的知识,但我的日常工作是软件开发。
答案1
最好的建议是联系学生信息系统的软件供应商,并迫使他们创建一个不需要 PC 上的本地管理员访问权限的软件版本。这是他们的设计缺陷,他们应该修复它。
您的另一个选择当然是尝试以谨慎的方式打破窗口,只允许应用程序运行,在这种情况下,您将需要进程监控并且能够敏锐地发现权限被拒绝的错误。
编辑:我认为最简单的解决方法是将所有需要此应用程序管理员访问权限的用户放入域安全组然后将域组添加到他们需要访问的 PC 上的本地管理员列表中。
如果您想要变得更加复杂,您可以创建一个组策略并将其分配给您希望安全组被允许管理员访问的计算机的 OU。
如果你想研究组策略,那么使用组策略管理控制台。报告让您可以轻松查看策略中设置的内容以及该策略在域中的应用位置。
答案2
如果 Windows 计算机加入了 Active Directory 域,则可能存在限制每个用户的 AD 组策略。这是锁定桌面的一种非常有效的方法。
答案3
很多时候,运行程序需要本地管理员权限,因为程序会在“Program Files”文件夹中写入或更新数据。此文件夹通常对非管理员是只读的。通常,配置文件是罪魁祸首!
我建议做个实验。使用本地管理员授予所有用户对安装程序文件夹的完整权限。然后尝试运行它,并尝试运行更新安装程序。
如果成功,那么您可以使用 GP 全局调整权限,或者可以在登录脚本中放置 CACLS 命令。
答案4
管理本地管理员
我认为管理域中本地管理员权限的最佳方法如下。1-
创建域组(例如“桌面管理员”)
2- 在每个工作站上,将域“桌面管理员”组添加到本地管理员组。--
>这可以通过 GPO 完成,尽管我的使用时间早于 GPO
3- 根据需要,将各个域用户放入或移出“桌面管理员”域组。
笔记:缺口暗示了同样的事情,但我为了后人而充实了它。