我最近在包含主林/域和子域的环境中安装了 SCCM 1606。我已让所有子域正常运行,但我想要的是限制所有子域的域管理员和用户安装任何程序,除非通过 SCCM 安装,或者如果用户是企业管理员,则只有他们才能安装程序。有没有办法限制这种情况?我似乎找不到阻止域管理员安装东西的方法。
答案1
域管理员有权管理域及其组成机器。如果您尝试删除这些权限,那么您将面临糟糕的一天 - 而且无论如何,域管理员可以撤消您的更改以再次授予他们自己的权限。
如果您不希望域管理员拥有这些权限,请不要让他们成为域管理员。如果您希望他们管理 Active Directory 中的对象,请使用控制委派。