user12219 Asked: 2009-07-10 00:43:23 +0800 CST2009-07-10 00:43:23 +0800 CST 2009-07-10 00:43:23 +0800 CST Windows 中的安装权限管理 772 问题: 我们有一个混合了 Windows 2000 和 Windows XP 机器的站点。这些当前具有可以安装许可/未许可软件的管理员权限的用户帐户。我们希望限制此类活动,以便, 用户可以安装/卸载预先批准的软件列表。 用户可以不受限制地访问所有其他系统资源(除软件安装外的所有管理员权限)。 我正在寻找一种使用任何 MS 或第三方工具来实现此目的的方法。欢迎所有建议。 编辑:鉴于这些挑战,建议是什么? windows group-policy security permissions 3 个回答 Voted Best Answer l0c0b0x 2009-07-10T01:56:45+08:002009-07-10T01:56:45+08:00 如果您真的需要这样做(...),您需要研究 Window 的软件限制策略:http ://technet.microsoft.com/en-us/library/bb457006.aspx [开始咆哮] 不过,说实话,对于 IMO 似乎特别容易规避的事情,这似乎需要做很多工作,因为用户最终(正如您所指出的)将拥有不受限制的访问权限。 [结束吐槽] 无论如何,这里有一些来自该链接的信息: 软件限制策略是 Microsoft 安全和管理策略的一部分,旨在帮助企业提高其计算机的可靠性、完整性和可管理性。软件限制策略是 Windows XP 和 Windows Server 2003 中许多新的管理功能之一。 本文深入探讨了如何使用软件限制策略: 对抗病毒 规范可以下载哪些 ActiveX 控件 仅运行经过数字签名的脚本 强制在系统计算机上仅安装经过批准的软件 锁定机器 user1686 2009-07-10T01:56:19+08:002009-07-10T01:56:19+08:00 用户可以安装/卸载预先批准的软件列表。 我认为 Windows 在组策略中有“软件限制策略”或其他内容。 用户可以不受限制地访问所有其他系统资源(除软件安装外的所有管理员权限)。 只需 10 分钟即可安装任何软件。(事实上,对于所有可用软件的很大一部分,您不需要安装任何东西 - 只需解压缩并双击 .exe) 试图限制管理员是一个非常糟糕的主意。 Jim B 2009-07-10T10:42:09+08:002009-07-10T10:42:09+08:00 使用SRP。使用主题标签选项仅允许您希望他们能够安装和运行的软件。我还会考虑将它们从管理员中删除,并将这些帐户置于高级用户中。对于那些不想退出管理组的人,我会特别注意他们被允许运行的内容。
如果您真的需要这样做(...),您需要研究 Window 的软件限制策略:http ://technet.microsoft.com/en-us/library/bb457006.aspx
[开始咆哮]
不过,说实话,对于 IMO 似乎特别容易规避的事情,这似乎需要做很多工作,因为用户最终(正如您所指出的)将拥有不受限制的访问权限。
[结束吐槽]
无论如何,这里有一些来自该链接的信息:
我认为 Windows 在组策略中有“软件限制策略”或其他内容。
只需 10 分钟即可安装任何软件。(事实上,对于所有可用软件的很大一部分,您不需要安装任何东西 - 只需解压缩并双击 .exe)
试图限制管理员是一个非常糟糕的主意。
使用SRP。使用主题标签选项仅允许您希望他们能够安装和运行的软件。我还会考虑将它们从管理员中删除,并将这些帐户置于高级用户中。对于那些不想退出管理组的人,我会特别注意他们被允许运行的内容。