我们已将大量普通域用户从 Windows XP 迁移到 Windows 7 工作站。UAC 已关闭。
有没有办法允许这些用户在不成为本地管理员组成员的情况下在其工作站上更新自己的应用程序(Adobe Flash & Reader、Java 等)?也许是本地安全策略 (secpol.msc) 中的某些设置?在测试中,将其中一个用户添加到本地高级用户组没有帮助。
答案1
我们的桌面管理团队为这个问题奋斗了数月,最终的结果是让用户成为本地管理员(我知道这不是最好的选择)。然而,从他们的发现来看,他们能找到的最佳/唯一解决方案是一个卑鄙的安全和注册表黑客,让用户对特定应用程序及其位置拥有本地管理员类型的权限。问题是,每当用户需要更新想要接触用户没有特殊“黑客”权限的位置的应用程序时,升级就会失败,有时甚至会损坏应用程序。
答案2
我们还没有真正下定决心……我一直在想办法按要求推送更新,但这样做有很多问题……软件供应商太多,所以这变成了一个巨大的麻烦。看起来我们不得不给他们本地管理员。我很不高兴。
我最不希望第一批使用 Windows 7 的人安装他们自己的垃圾。自己逛逛、登录并更新它们几乎不会那么麻烦。