客户要求如下:要求对某台机器允许域用户修改网络配置,但不允许安装和卸载软件。如何实现?


===解决思路

  1. 通过组策略实现"不允许安装和卸载软件"

  2. 普通账户在域中是无法修改网络配置的,可以将其添加到Network Configuration Operators组中,此组的成员可以修改网络配置,只是拥有部分的网络修改权限,足以满足用户平需求

  3. 客户的域用户默认都有PowerUser权限,


===组策略配置

1)新建一个组织单位,将PC放入组织单位中

wKiom1eDkR-wl2Q7AAB_IkGbGM4203.png


2)cmd命令行中输入gpmc.msc打开组策略管理控制台,新建GPO,进行编辑

wKiom1eDkbiQvBDNAADHQoXXpgc939.png


3)点击管理模板......Windows组件下查找Windows Installer

wKioL1eDkrrzg4BVAACjHsOQGgc049.pngwKiom1eDk1egUen0AAG0UwCishw698.png


4)将“关闭Windows Installer启用”,箭头所指部分选择始终 ,gpupdate /force刷新策略

wKioL1eDk7_AckDrAADHi×××kHU950.png


===测试组策略效果

安装软件时出现如下错误,卸载操作会提示禁止进行此卸载,策略部署成功

wKioL1eDmCajFXOKAAYAacSueUc307.png


在没有赋予权限时,想要进行网络配置会出现如下错误

wKioL1eDmX6whl68AACdN_piF-Y714.png





===解决方法--赋予用户Network Configuration Operators权限、PowerUser权限



1)将刚添加的Administrators权限删除后再添加此权限,描述中写到了这个权限的作用哦

如果组中有Domain Users的话可以不添加,没有的话也可以添加Domain Users

wKioL1eDmunzXLnTAAE0M1UCoCI961.png


2)输入用户名密码

wKiom1eDmzrxmVnNAAFKeOZnWHU907.png


3)切记,添加Network Configuration Operators权限,看到下图是有权限打开本地连接属性

可以看到安装和卸载是灰色的,因为这个组只会给用户一些基本的网络修改权限,不支持安装或卸载其他网络协议

wKiom1eDnkCgQkEXAADp7ecmmi8448.png


4)策略生效后,客户端就无法进行安装和卸载

wKioL1eVrRGBaZ3fAABBMSGx-kM916.png


===总结

  1. 如果用户是有本地管理员权限的,那么Windows Instaler禁用策略是无法生效的

  2. 如果将用户的本地管理员权限删除之后,禁用安装策略无法立即生效,需要重启用户计算机

  3. 切记用户必须是Network Configuration Operators组的成员才可以修改网络配置

4.  如果出现其他错误,尝试将用户添加Poweruser权限解决问题