我正在尝试使用组策略在我们的域上部署软件,但只有当用户是具有管理权限的组的成员时,我才能这样做。我们通常不想允许用户安装程序,但希望能够分配/发布。
我使用的测试程序原本是一个 .msi 文件,对于管理员组中的用户来说,它可以正常安装。我们如何才能在不开放安装任何内容的能力的情况下将其分配/发布给普通用户?
此外,从我读到的内容来看,我相信我对存储 .msi 文件的文件夹/共享具有正确的权限。这是在 Win2008R2 上,带有 Win7Pro 客户端。
答案1
用户级 GPO 安装使用用户的权限作为自己的权限。因此,如果用户不是计算机上的管理员,则组策略无法安装该软件,并且会默默失败。
现在,话虽如此,计算机策略确实在管理员环境中运行。如果您想在无需管理员交互的情况下在工作站上安装软件,则需要将其分配为计算机策略。需要注意的是,分配给计算机级策略的软件安装只会在启动时运行,因此需要重新启动事件。
还有其他方法可以解决这个问题(例如 SCCM 等第三方工具、使用具有模拟凭据的登录脚本进行软件部署),但这些方法要么需要 $$,要么需要您做一些工作(并且可能存在一两个安全风险)...
答案2
据我所知,您不能。用户要么可以安装应用程序,要么不能安装应用程序。GPO 无法改变这一点
如果您想要将应用程序安装到 PC 上,则必须以具有权限的用户身份进行安装。这意味着将策略应用于机器而不是用户。
有人知道解决这个问题的方法吗?