該如何有效限制使用者安裝軟體?

限制軟體安裝

qek2 2013-10-16 22:25:43 ‧ 14177 瀏覽

公司所有的電腦都有加入網域。
直接將USER的權限從Administrator 群組移除，變成"Domain Users"
如果要安裝軟體，只要在驗證視窗輸入domain Admin的帳號即可。
但有些電腦卻直接跳出 "系統禁用此安裝，請聯絡系統管理員"
不知該如何解決.....
公司有程式開發人員，無法直接將權限降級成Domain Users，深怕在開發軟體時
會出問題，故選擇更改GPO的方式，停用 "windows installer"

不過這種方式卻有很大很大的問題..

當USER要安裝軟體時，連domain Admin的權限都無法安裝，
必需要將windows installer 啟用後，才能安裝，如此一來很麻煩。
因為沒辦法降為一般user，所以這些人還是擁有Local Admin的權限，
還是可以私下將windows installer 啟用。
有好心人提供一個方法，直接從AD派送規則，這些USER就無法更改，
但是如此一來，就會遇到一開始的問題，別說啟用Windwos installer，
現在變成連改都沒辦法改，只能從AD停用這些規則。
停用windows installer 只能禁止.msi類型的軟體.....

在此跪求高手們能提供解決辦法，或是更好的做法..
3Q

小成 iT邦高手 10 級 ‧ 2013-10-17 11:06:28 檢舉

手機回訊先回簡單的。
Gpo 軟體限制原則、applocker

qek2 iT邦新手 5 級 ‧ 2013-10-21 15:10:04 檢舉

applocker 好像只能用在企業版，專業版有這個功能，但是沒辦法啟用>"<

如果要使用gpo的軟體限制原則，若要禁止所有軟體安裝，該怎麼設定比較好...

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

IT 癡

iT邦高手 1 級 ‧ 2013-10-17 11:36:15

最佳解答

你的 GPO 可能設定有誤 port 上來看看吧
我將我公司的所有開發人員按不同功能放不同網段 (如 .Net 給 192.168.10.x DB 給 192.168.20.x 等) 每個網段各自放給他們完整權限想當然耳他們就看不到一般員工的網段了當他們要放修改程式上正式環境時須經過一部中介 server 再由授權 IT 人員轉到正式主機上這樣是很麻煩但相對地開發人員無法動到正式環境時對公司的影響層面是最小的供你參考