客户要求如下:要求对某台机器允许域用户修改网络配置,但不允许安装和卸载软件。如何实现?
===解决思路通过组策略实现"不允许安装和卸载软件"
普通账户在域中是无法修改网络配置的,可以将其添加到Network Configuration Operators组中,此组的成员可以修改网络配置,只是拥有部分的网络修改权限,足以满足用户平需求
客户的域用户默认都有PowerUser权限,
===组策略配置
1)新建一个组织单位,将PC放入组织单位中
2)cmd命令行中输入gpmc.msc打开组策略管理控制台,新建GPO,进行编辑
3)点击管理模板......Windows组件下查找Windows Installer
4)将“关闭Windows Installer启用”,箭头所指部分选择始终 ,gpupdate /force刷新策略
===测试组策略效果
安装软件时出现如下错误,卸载操作会提示禁止进行此卸载,策略部署成功
在没有赋予权限时,想要进行网络配置会出现如下错误
===解决方法--赋予用户Network Configuration Operators权限、PowerUser权限
1)将刚添加的Administrators权限删除后再添加此权限,描述中写到了这个权限的作用哦
如果组中有Domain Users的话可以不添加,没有的话也可以添加Domain Users
2)输入用户名密码
3)切记,添加Network Configuration Operators权限,看到下图是有权限打开本地连接属性
可以看到安装和卸载是灰色的,因为这个组只会给用户一些基本的网络修改权限,不支持安装或卸载其他网络协议
4)策略生效后,客户端就无法进行安装和卸载
===总结如果用户是有本地管理员权限的,那么Windows Instaler禁用策略是无法生效的
如果将用户的本地管理员权限删除之后,禁用安装策略无法立即生效,需要重启用户计算机
切记用户必须是Network Configuration Operators组的成员才可以修改网络配置
4. 如果出现其他错误,尝试将用户添加Poweruser权限解决问题
本文出自 “SameOld” 博客,谢绝转载!