我兼职做一个小学校的networking/系统pipe理员。 学校使用商业学生信息系统,每季度更新一次。 服务器更新后,如果没有pipe理员在每台计算机上手动运行更新安装程序,用户将无法访问SIS。 只要有人能记得,它就是这样的。
我的前任竭尽全力locking桌面。 我假设试图防止用户意外安装病毒等(他们的努力失败,我可能会添加)。 这似乎是SIS无法在没有pipe理员login的情况下自动更新每个桌面的原因。在最近的更新之后,它变得更糟。 现在,用户甚至无法正常使用该程序,而无需提升权限,更不用说安装更新了。
无法find限制用户的设置,我必须手动将每个用户添加到他们自己的本地计算机的pipe理员组。 当然,这意味着如果一个用户不能使用其他用户的机器,直到我得到修复。
我假设我需要改变的安全设置是在组策略编辑器中定义的,但我似乎无法find在哪里。 任何帮助,将不胜感激。
PS如果你没有猜到,我没有在Windowspipe理培训。 通过阅读帮助文件,我学到了足够的东西,但我的日常工作是软件开发。
最好的build议是联系学生信息系统的软件供应商,并迫使他们创build一个他们的软件版本,不需要在电脑上本地pipe理员访问。 这是他们的devise错误,他们应该修复它。
您的其他选项当然是要小心地打破窗口,只允许应用程序运行,在这种情况下,您将需要进程监视器和一个很好的眼睛来确定权限被拒绝的错误。
编辑:我认为最简单的解决方法是将所有需要此应用程序pipe理员权限的用户放入域安全组 ,然后将域组添加到他们需要访问的PC上的本地pipe理员列表。
如果想要更加复杂,可以创build一个组策略,并将其分配给希望安全组被允许pipe理员访问的计算机的OU。
如果您想要使用组策略,请使用组策略pipe理控制台。 通过这些报告,您可以轻松查看政策中已设置的内容以及所应用的域中的哪些内容。
如果Windows计算机join到Active Directory域中,则可能存在限制每个用户的AD组策略。 这是locking桌面的非常有效的方法。
大多数情况下,只有当程序写入或更新“Program Files”文件夹中的数据时才需要本地pipe理员权限来运行程序。 对于非pipe理员,此文件夹通常是只读的。 通常configuration文件是罪魁祸首!
我build议一个实验。 使用本地pipe理员授予所有用户对安装该程序的文件夹的完全权限。 然后尝试运行它,然后尝试运行更新安装程序。
如果这是成功的,那么可以使用GP来全局调整权限,或者可以在login脚本中放置CACLS命令。
pipe理本地pipe理员
恕我直言,pipe理本地pipe理员权限的最佳方式如下。
1-创build一个域组(例如“桌面pipe理员”)
2-在每个工作站上,将域“Desktop Admins”组添加到本地pipe理员组。
– > 这可以通过GPO完成,虽然我使用GPO之前
3-根据需要,将各个域用户放入和退出“Desktop Admin”域组。
注意: 尼克build议同样的事情,但我为了后代而充实。