前文说过了,有时候为了方便,我们给本地用户赋予了本地管理员权限,这样做其实是非常不严谨的,为了更好的对客户端权限进行管理和控制,我们有时候只给予用户Domain User组(默认)的权限,但是这样的话,有些需要对系统目录和注册表进行修改的软件就无法安装和运行。

 网上搜索了一下,有以下几个解决办法,稍显复杂:

1、所有软件都安装在固定的Program Files目录,并通组策略赋予Program Files目录Domain Users组完全控制权限
2、通过组策略赋予注册表HKLM_SOFTWARE键Domain Users组完全控制权限
3、通过组策略赋予Domain Users组system32目录完全控制权限
通过以上3个地方的修改,90%的软件都可以正常运行了。对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注 册表值,来适当放开权限。

 

还有一个简单的办法就是将Domain Users组加入本地Power Users组,可以用本博客系列一中的方法定义,大部分软件就可以运行了,这样也不用在组策略中定义,但Power Users的权限相对较大,有些情况下也有可能获得管理员权限,具体和Users组的区别,大家可以看看这篇文章:http://longingzhu.blog.51cto.com/2105366/710533