有没有办法让域用户在组策略端完全控制他们的本地驱动器?
具体来说,我的 IT 经理希望做到以下几点:
a) 允许桌面控制
b) 完全访问本地硬盘
c) 不允许安装软件
d) 允许现有软件更新
e) 安装附加打印机
允许目前,我们的 Win2003 设置不允许用户执行 a、b、d、e - 我想知道是否有办法使用 GP 来启用这些操作?
答案1
是的,尽管这是基于注册表的更改,因此您必须配置 .ADM 文件。详细信息请访问 Microsoft这里。(您显然想要“不限制驱动器”选项)
答案2
我认为你正在尝试做的事是一个非常糟糕的想法。
话虽如此,你可以使用文件系统安全策略使用组策略授予对文件/文件夹的访问权限。
您的要求相互冲突(而且与您的问题的要求也完全正交)。如果您取消了“管理员”权限,但授予用户对安装操作系统的磁盘的“完全控制权”,那么您只是赋予他们通过修改操作系统文件重新获得“管理员”权限的能力(以及安装软件、恶意软件等)。
如果您想让用户不再担任“管理员”并开始清理您的支持程序,那么您最好的选择是考虑使用“文件夹重定向”并发起一场政治运动,让用户相信他们的数据将更安全、更有保障,并且通过将数据存储在他们的“我的文档”文件夹(然后您将其重定向到服务器计算机)中,更易于访问。
没有充分的理由将文件保存在本地硬盘驱动器上。您能想到的任何理由都不够充分。在最近的几个服务器/客户端操作系统版本中,微软在提供服务器端存储数据的机制方面做得很好,即使断开网络也能在客户端使用数据,同时保证数据的安全。
要摆脱“人人都是管理员”的文化,需要付出艰苦的努力、时间和精力。您必须使用“进程监视器”等工具来让您的软件服从:以非特权用户身份运行。但是,如果您能做到这一点,那么您将拥有一个更好的世界:经常性支持成本、扑灭“火灾”等。
答案3
默认情况下,只有域管理员组才会作为 PC 上的本地管理员添加。但您可以在计算机上转到“计算机管理”(右键单击计算机并单击管理),然后在组中 - 管理员也可以添加域用户。这就是我的做法。如果您需要在很多计算机上执行此操作,那么这将是一个漫长的过程。
所以如果有人有更好的解决方案我也不会介意。