我有 2 个本地管理员帐户。我想通过一个管理员帐户阻止另一个管理员无法安装任何新软件。我该怎么做?
我正在尝试:
从主管理员的 MMC 下,我说的是组策略管理单元。在用户配置 -> 管理模板 -> Windows 组件 -> Windows 安装程序下,我找不到组策略设置“关闭 Windows 安装程序”。我看到的是这个。
我在计算机配置中看到了此选项,但我不想将此限制应用于整个计算机。
或者我不确定我是否必须在 regedit 或 secpol.msc 中执行某些操作,在应用程序控制策略下,我是否应该应用某些规则。如果是,我应该应用什么规则。请帮忙。
您永远无法阻止管理员执行某些操作。如果用户是本地管理员,那么阻止某些操作的唯一方法是确保应用的规则不是本地的,例如,在他们有权访问的地方之外。
为此,您需要一个带有域控制器(活动目录)的服务器,但即便如此,也有办法绕过它。
更好的选择是简单地撤销管理员访问权限并在他们需要的地方授予读/写权限,以便他们的程序继续运行。
通常,帐户被授予访问权限,因为没有它程序 x 就无法运行。但是,如果您授予程序安装文件夹的读/写文件访问权限,这通常就足以实际上不需要管理员访问权限。
另一种选择是直接告诉这些用户他们不允许安装该软件,如果他们安装了,则会受到某种形式的惩罚。例如,告诉他们,如果他们安装了该软件,您将撤销他们的管理员权限。