我需要禁止用户以某些特殊权限卸载应用程序(不是服务!)。这该怎么做?安装将由域管理员
完成感谢您的时间
[编辑]我还需要阻止从Windows启动中删除应用程序
[EDIT1]澄清:应用程序很简单,安装在其文件夹中并添加到Windows启动(实际上是HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run注册表)。我需要的是禁止为有序用户删除此文件夹和此注册表项,而不是本地管理员。
答案 0 :(得分:3)
[更新] 文件位置很简单。这是简单地撤销对文件夹及其所有子文件夹和文件的写入权限为Builtin \ Users,并给予Builtin \ Administrators完全permmision。您可以通过Explorer,properties->设置此项。权限或命令行明智的cacls(或icalcs,如果你在win7)
regkey在我的win7盒子上,用户只能读取(不可写),本地管理员可以读/写(regedit - >上下文菜单 - > Persmissions)。
如果它仍然不像您想要确定普通用户所在的组(也是域组),然后检查这些组如何传播到本地计算机。
正如Ben在评论中所说的那样,你可能会在Server Fault上开始一个新的问题。
[结束更新]
[在编辑回复之前] 我怀疑你可以禁止卸载'one'应用程序。通过组策略,您可以“禁止删除更新”
(在计算机配置/管理模板/ windows组件/ windows安装程序下的GPedit.msc中)
组策略由域管理员设置,并在域中强制执行,因此不需要“持久”。但是,您还需要阻止本地管理员编辑本地组策略。
另一个更令人生畏的选择是在安全设置的软件限制部分中使用组策略。在这里,您可以输入不希望运行的msi或exe文件名的路径策略。
两者都需要验证/测试,以防止大量限制阻止每个人开始任何事情......
答案 1 :(得分:2)
如果应用程序需要安装管理权限,则非管理员无权删除它。
如果用户具有本地管理权限,则无法阻止任何操作。