iT邦幫忙

0

以系統管理者身分執行後的群組原則

小弟公司有一套軟體比較特別一定要以系統管理者身分才能夠正常運作
單純只給使用者帳號管理者權限也沒用,但是我發現這樣群組原則會失效
譬如我群組原則是鎖住本機硬碟無法使用,但是軟體開始是系統管理者身分
這樣此軟體再另存檔案的時候看到的存檔視窗是用administrator的profile
去進行存檔的,這樣user每次使用這軟體的時候就會突破我的群組原則設定
請各位大大幫幫們給些意見跟想法/images/emoticon/emoticon02.gif

小成 iT邦高手 10 級 ‧ 2019-04-23 14:44:21 檢舉
你給使用者管理員權限,然後用使用者帳號登入後安裝,這樣可以跑嗎?
納貝 iT邦新手 1 級 ‧ 2019-04-24 11:13:30 檢舉
你的問題是因為使用者"借用"了admin的權限在運行軟體,所以你只有兩條路

1. 把軟體設定為非admin權限 (這個應該被你打槍)
2. 編輯每個使用者桌面的捷徑內容,把啟動參數改成其他存擋路徑(或其他profile)

希望幫到你
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
kobecho
iT邦新手 3 級 ‧ 2019-04-22 13:29:08

軟體需要管理者權限應該當時你要先將使用者加權限並安裝
將使用者權限加到最高應該部會影響到你的群組原則才對
我司以前使用者全部都最高可是依樣有下些使用者的權限給他使用

0
zero
iT邦好手 1 級 ‧ 2019-04-22 20:47:10

我只有聽過群組原則可以隱藏磁碟機,還沒聽過可以鎖住本機磁碟無法使用,

再怎樣C磁碟也不可能鎖住,鎖住系統要怎麼運作,別不懂亂來搞死自己

自己建立一個資料夾,跟著做,搞懂了再去User端設定

右鍵->內容->安全性->進階>新增

主體:Domain users or administrators
類型 "拒絕"
套用範圍 "這個資料夾"
設定 "讀取權限" "列出資料夾/讀取資料"


基本上不管從哪裡呼叫的GUI還是command-line都無法列出該資料夾的內容

GUI會因為無法列出資料夾內容,直接拒絕使用者進入該資料夾

command-line會直接跳出拒絕存取

再來該資料夾的擁有者不能是那位使用者,否則這個規則會被擁有者的特殊權限蓋過

簡單來說擁有者可以超過上面的特殊權限,所以還是可以讀取該資料夾的內容


可以把擁有者改成System或者administrators都可以,就是不能讓它是你要控管的使用者帳戶

我要發表回答

立即登入回答