我正在寻找一种解决方案来限制我的 Active Directory 用户,以便他们只能从 5 张不同的图片中选择一张来设置桌面壁纸。
我们公司有一套 5 张图片。用户现在可以单独选择 5 张图片中的一张作为桌面壁纸。但不允许使用其他图片。
你有什么想法?
答案1
Windows GPO 仅允许您将背景图像预设为给定的图像文件并禁用更改它的 UI 功能。没有限制可用图像选择的功能。
您可以通过 GPO 禁用壁纸更改 UI,并让您的用户通过调用脚本来设置所需的壁纸,该脚本将写入HKCU\Control Panel\Desktop用户配置文件中的相应注册表项(),这可能看起来很简单
set-itemproperty -path "HKCU:Control Panel\Desktop" -name WallPaper -value "\\domain\Dfs\wallpaper\image1.jpg"
在 PowerShell 中(需要注销/登录序列才能生效)。
这种方法的问题在于,足够聪明或知识渊博的用户可以自己更改注册表项值来设置任何她喜欢的壁纸。如果担心这一点,您可以尝试另一种设置,尽管这种设置要复杂得多:
- 通过 GPO 将桌面背景设置为用户特定路径(例如用户配置文件中的图像文件)
- 删除用户对包含该文件的目录以及文件本身的写/删除权限
- 提供一个接口来替换此文件,该文件将在不同的安全上下文中运行,并具有替换上述文件的权限
一种实现可以包括所有 Windows 工作站上的许多计划任务,这些任务将被设置为在足够特权的上下文中运行(例如 SYSTEM / LocalSystem 帐户),以将当前登录用户的墙纸图像替换为允许的图像之一。