在AD裡有辦法設定軟體白名單嗎?

ad windows server

yecho 2025-02-06 15:47:23 ‧ 841 瀏覽

分享至

各位前輩大佬

小弟目前接手公司AD，之前公司版本是2012版，後來選擇升級改版成2022，順便想調整一下群組的權限設定

之前工程部門為了工作環境，所以是全部都放在administrator群組裡面，但後續覺得給到最高權限可能會有風險
決定把會用到的軟體加到白名單裡，把工程部門的ad權限拔掉，讓他們用一般的domain users也可以進行軟體更新，這個做法應該是可行的吧?

我後續有去google看到app locker功能，但我自己測試過gpo沒什麼作用，軟體還是被系統管理員鎖住，想詢問一下有什麼辦法解決?

PIZZ iT邦新手 1 級 ‧ 2025-02-07 09:29:05 檢舉

使用「受信任的安裝程式」 GPO (建議)
適用情境：允許特定軟體執行，而不授予管理員權限。
這種方式適用於安裝後仍需管理員權限執行的應用程式。

設定步驟
開啟群組原則管理 (GPMC)。
建立或編輯 GPO：
新增一個 GPO，例如 Allow Admin Apps，並連結到適用的 OU (組織單位) 或整個網域。
導航到設定項目：
電腦設定 > 原則 > Windows 設定 > 安全性設定 > 本機原則 > 使用者權限指派 (User Rights Assignment)。
允許執行特定軟體：
找到 "允許從受信任的安裝程式安裝 (Allow log on as a batch job)"。
將特定使用者或群組 (例如 Domain Users 或 SpecificGroup) 新增進去。
更新群組原則：
在用戶端執行 gpupdate /force 使其生效。
優點： ✅ 不需給使用者完整管理員權限，只允許執行指定軟體。
✅ 適合企業環境，確保安全性。