該如何限制使用者安裝軟體
小弟弟我拜google大神所找的方法,都無法滿足現行公司的需求="=
目前作法與遇到的問題 :
1. 公司所有的電腦都有加入網域。
直接將USER的權限從Administrator 群組移除,變成"Domain Users"
如果要安裝軟體,只要在驗證視窗輸入domain Admin的帳號即可。
但有些電腦卻直接跳出 "系統禁用此安裝,請聯絡系統管理員"
不知該如何解決.....
2. 公司有程式開發人員,無法直接將權限降級成Domain Users,深怕在開發軟體時
會出問題,故選擇更改GPO的方式,停用 "windows installer"
不過這種方式卻有很大很大的問題..
- 當USER要安裝軟體時,連domain Admin的權限都無法安裝,
必需要將windows installer 啟用後,才能安裝,如此一來很麻煩。
- 因為沒辦法降為一般user,所以這些人還是擁有Local Admin的權限,
還是可以私下將windows installer 啟用。
有好心人提供一個方法,直接從AD派送規則,這些USER就無法更改,
但是如此一來,就會遇到一開始的問題,別說啟用Windwos installer,
現在變成連改都沒辦法改,只能從AD停用這些規則。
- 停用windows installer 只能禁止.msi類型的軟體.....
3. 網路銀行或是一些需要在IE更新的元件,在domain Users的權限下無法更新
,也是要切換到domain Admin權限才能安裝。
在此跪求偉大的鄉民們能提供解決辦法,或是更好的做法..T^T
3Q
--
小弟弟我拜google大神所找的方法,都無法滿足現行公司的需求="=
目前作法與遇到的問題 :
1. 公司所有的電腦都有加入網域。
直接將USER的權限從Administrator 群組移除,變成"Domain Users"
如果要安裝軟體,只要在驗證視窗輸入domain Admin的帳號即可。
但有些電腦卻直接跳出 "系統禁用此安裝,請聯絡系統管理員"
不知該如何解決.....
2. 公司有程式開發人員,無法直接將權限降級成Domain Users,深怕在開發軟體時
會出問題,故選擇更改GPO的方式,停用 "windows installer"
不過這種方式卻有很大很大的問題..
- 當USER要安裝軟體時,連domain Admin的權限都無法安裝,
必需要將windows installer 啟用後,才能安裝,如此一來很麻煩。
- 因為沒辦法降為一般user,所以這些人還是擁有Local Admin的權限,
還是可以私下將windows installer 啟用。
有好心人提供一個方法,直接從AD派送規則,這些USER就無法更改,
但是如此一來,就會遇到一開始的問題,別說啟用Windwos installer,
現在變成連改都沒辦法改,只能從AD停用這些規則。
- 停用windows installer 只能禁止.msi類型的軟體.....
3. 網路銀行或是一些需要在IE更新的元件,在domain Users的權限下無法更新
,也是要切換到domain Admin權限才能安裝。
在此跪求偉大的鄉民們能提供解決辦法,或是更好的做法..T^T
3Q
--
All Comments