为了更好的对客户端权限进行管理和控制,推荐的做法是,我们只赋予终端用户Domain User组的权限。但有些需要Local Administrator权限的软件就无法安装和运行。我目前能想到的办法是:

a.所有软件都安装在固定的Program Files目录,并通组策略赋予Program Files目录Domain Users组完全控制权限

b.通过组策略赋予注册表HKLM_SOFTWARE键Domain Users组完全控制权限

c.通过组策略赋予Domain Users组system32目录完全控制权限
通过以上3个地方的修改,90%的软件都可以正常运行了