一个场景。您有一组员工,在 AD 中标识为代理和工程师。我可以设置控制以便:代理不能安装软件 工程师可以安装软件
提前谢谢你,Jam
答案1
您可以使用 AppLocker 策略根据组成员身份允许用户运行或阻止用户运行典型的 Windows Installer 文件。但是,捕获 .exe 文件需要大量的规划和审核以及长期维护,因为您需要将 AppLocker 设置为仅允许选定的 .exe 文件运行。
您可以通过不授予客户端计算机上的管理权限来阻止用户在系统范围内安装软件。授予某些用户在客户端计算机上进行管理更改的能力的正确方法是为他们创建专用的管理帐户,然后通过该帐户控制访问。授予普通用户帐户管理权限存在安全风险,应避免;同样,您不应仅仅因为这样做最简单而授予这些帐户域管理员权限。
实现此目的的最简单方法是创建一个工程师管理帐户组,然后创建一个 GPO 将管理工程师组添加到客户端计算机上的本地管理员组。