我在一所小型学校担任兼职网络/系统管理员。学校使用每季度更新一次的商业学生信息系统。服务器更新后,如果没有管理员在每台计算机上手动运行更新安装程序,用户将无法访问 SIS。只要有人记得,它就一直是这样。
我的前任不遗余力地锁定了桌面。我假设尝试防止用户意外安装病毒等(我可能会补充说他们的努力失败了)。这似乎是 SIS 无法在没有管理员登录的情况下自动更新每个桌面的原因。在最近的更新之后,它变得更糟。现在,如果没有提升权限,用户甚至无法正常使用该程序,更不用说安装更新了。
由于无法找到限制用户的设置,我不得不手动将每个用户添加到他们自己的本地计算机的管理员组中。当然,这意味着如果一个用户出现故障,则在我修好之前,该用户无法使用另一个用户的机器。
我假设我需要更改的安全设置是在组策略编辑器中定义的,但我似乎找不到在哪里。任何帮助,将不胜感激。
PS 如果您没有猜到,我没有接受过 Windows 管理方面的培训。通过阅读帮助文件,我已经学到了很多东西,但我的日常工作是软件开发。
最好的建议是联系学生信息系统的软件供应商,并迫使他们创建一个不需要本地管理员访问 PC 的软件版本。这是他们的设计错误,他们应该修复它。
您的另一个选择当然是尝试以谨慎的方式破坏窗口,只允许应用程序运行,在这种情况下,您将需要Process Monitor和找出权限被拒绝错误的好眼光。
编辑:我认为最简单的解决方法是将所有需要此应用程序管理员访问权限的用户放入域安全组,然后将域组添加到他们需要访问的 PC 上的本地管理员列表中。
如果您想变得更复杂,您可以创建一个组策略并将其分配给您希望您的安全组被允许管理员访问的计算机的 OU。
如果您想使用组策略,请使用组策略管理控制台。这些报告使您可以轻松查看策略中设置的内容以及它在域中的应用位置。
如果 Windows 计算机已加入 Active Directory 域,则可能存在限制每个用户的 AD 组策略。这是锁定桌面的一种非常有效的方法。
很多时候,运行程序需要本地管理员权限,因为程序在“程序文件”文件夹中写入或更新数据。此文件夹对于非管理员通常是只读的。通常配置文件是罪魁祸首!
我建议做一个实验。使用本地管理员授予所有用户对安装程序的文件夹的完全权限。然后尝试运行它,然后尝试运行更新安装程序。
如果成功,那么你可以使用 GP 来全局调整权限,或者你可以在登录脚本中放置一个 CACLS 命令。
管理本地管理员
恕我直言,管理域中本地管理员权限的最佳方法如下。
1- 创建一个域组(例如“桌面管理员”)
2- 在每个工作站上,将域“桌面管理员”组添加到本地管理员组。
-->这可以通过 GPO 完成,尽管我使用它早于 GPO
3- 根据需要,将各个域用户放入和退出“桌面管理员”域组。
注意:尼克提出了同样的建议,但我为后代充实了它。