有没有办法让域用户完全控制组策略端的本地驱动器?
具体而言,我的IT经理需要以下内容:
a)允许桌面控制
b)完全访问本地硬盘
c)软件安装不允许
d)允许的现有软件更新
e)安装更多的打印机
允许目前,我们的Win2003安装程序不允许用户做a,b,d,e – 我想知道是否有使用GP来启用这些的方法?
是的,虽然这是一个基于registry的变化,所以你必须configuration.ADM文件。 微软在这里的全部细节。 (你显然想要'不要限制驱动器'选项)
我会观察到你想要做的是一个非常糟糕的主意。
话虽如此,您可以使用文件系统安全策略来授予使用组策略访问文件/文件夹的权限。
你有相互矛盾的要求(对你的问题也是完全不对称的要求)。 如果你拿走了“pipe理员”的权限,但给予用户安装操作系统的磁盘“完全控制”,那么你只是让他们有能力获得“pipe理员”的权利(以及安装软件,恶意软件等)通过修改操作系统文件。
如果您试图让用户停止成为“pipe理员”,并开始清理您的支持程序,最好的办法就是使用“文件夹redirect”来开展一个让用户信服的政治活动,他们的数据会更安全,更安全,并通过将其存储在“我的文档”文件夹(您将redirect到一台服务器计算机)中来访问。
没有很好的理由将文件保存在本地硬盘上。 任何你能想到的理由都不够好。 在过去的几个服务器/客户端操作系统版本中,微软已经做了很好的工作,提供了存储服务器端数据的机制,即使在与networking断开连接的情况下,它也可以在客户端使用,并且一直保持数据的安全和安全。
从“每个人的pipe理员”的文化转变,需要艰苦的工作,时间和精力。 您必须使用“进程监视器”等工具才能将您的软件提交到提交文件:以非特权用户身份运行。 但是,如果你能做到这一点,你将成为一个更好的世界:经常性的支持成本,打“火”等。
默认情况下,只有域pipe理员组被添加为本地pipe理员在PC上。 但是你可以在计算机上进入“计算机pipe理”(右键点击计算机并点击pipe理),然后分组 – pipe理员也可以添加域用户。 那就是我这样做的方式。 如果你需要在很多计算机上完成这个过程,那么这个过程很漫长。
所以如果有人得到了更好的解决scheme,我也不介意。