我需要禁止没有某些特殊权限的用户卸载应用程序(不是服务!)。这该怎么做?安装将由域管理员完成
谢谢你的时间
[编辑] 我还需要防止从 Windows 启动中删除应用程序
[EDIT1] 澄清:应用程序很简单,安装在其文件夹中并添加到 Windows 启动(实际上是 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 注册表)。我需要的是禁止删除此文件夹和此注册表项,对于序号用户,而不是本地管理员。
问问题
17676 次
2 回答
3
[更新]文件位置很容易。这是简单地撤销对 Builtin\Users 文件夹及其所有子文件夹和文件的写入权限,并给予 Builtin\Administrators 完全权限。您可以通过资源管理器、属性-> 权限或命令行明智地使用 cacls(或 icalcs,如果您在 win7 上)来设置它
regkey 在我的 win7 盒子上,只有用户可读(不可写),本地管理员读/写(regedit -> 上下文菜单 -> Persmissions)。
如果它仍然不像您想弄清楚普通用户所在的组(也是域组),然后检查这些组是如何传播到本地计算机的。
正如 Ben 在评论中所建议的那样,您可能会在 Server Fault 上提出一个新问题。
[结束更新]
[编辑回复之前] 我怀疑您是否可以禁止卸载“一个”应用程序。通过组策略,您可以“禁止删除更新”
(在计算机配置/管理模板/windows 组件/windows 安装程序下的 GPedit.msc 中)
组策略由域管理员设置,并在整个域中强制执行,因此不需要“权限”。但是您还需要防止本地管理员编辑本地组策略。
另一个更令人生畏的选择是在安全设置的软件限制部分中使用组策略。您可以在此处为您不想运行的 msi 或 exe 文件的名称输入路径策略。
两者都需要验证/测试以防止过多的限制阻止每个人开始任何事情......
于 2011-02-07T14:21:15.993 回答
2
如果应用程序需要安装管理权限,则非管理员将无权删除它。
如果用户具有本地管理权限,那么您将无法阻止任何事情。
于 2011-02-06T22:12:57.067 回答