如何限制使用者安裝軟體? - Windows

該如何限制使用者安裝軟體

小弟弟我拜google大神所找的方法，都無法滿足現行公司的需求="=

目前作法與遇到的問題 :


1. 公司所有的電腦都有加入網域。
直接將USER的權限從Administrator 群組移除，變成"Domain Users"
如果要安裝軟體，只要在驗證視窗輸入domain Admin的帳號即可。
但有些電腦卻直接跳出 "系統禁用此安裝，請聯絡系統管理員"
不知該如何解決.....

2. 公司有程式開發人員，無法直接將權限降級成Domain Users，深怕在開發軟體時
會出問題，故選擇更改GPO的方式，停用 "windows installer"

不過這種方式卻有很大很大的問題..
- 當USER要安裝軟體時，連domain Admin的權限都無法安裝，
必需要將windows installer 啟用後，才能安裝，如此一來很麻煩。

- 因為沒辦法降為一般user，所以這些人還是擁有Local Admin的權限，
還是可以私下將windows installer 啟用。
有好心人提供一個方法，直接從AD派送規則，這些USER就無法更改，
但是如此一來，就會遇到一開始的問題，別說啟用Windwos installer，
現在變成連改都沒辦法改，只能從AD停用這些規則。

- 停用windows installer 只能禁止.msi類型的軟體.....

3. 網路銀行或是一些需要在IE更新的元件，在domain Users的權限下無法更新
，也是要切換到domain Admin權限才能安裝。

在此跪求偉大的鄉民們能提供解決辦法，或是更好的做法..T^T
3Q

--