很多软件在管理员环境下适用正常,但域用户登陆到工作站后,在本地是user权限,这有可能导致很多软件启动的时候会由于权限不足,而导致无法运行。这里用office2000作为例子来说明如何调试软件,使之可以在域环境下运行。
其实导致这个动作的原因是由于每当登陆的用户发生变化,启动office后,office会检查%userprofile%/Application Data/Microsoft下是否存在相关配制文件的目录,这些目录将用于存放相关office套件的启动配制文件。第一次启动套件,就会调用检查这些目录是否存在该路径,如果这些目录不存在,将试图按照注册表中登记的路径寻找data1.msi重新注册用户信息,并创建这些目录。如果在该路径和系统路径找不到此文件,就会弹出对话框询问此文件的位置。如果能够找到此文件,哪怕当前目录无法写入,系统也不会提示错误,正常进入,这可能是设计使然:)那么,我们一般有3中办法来解决这个问题。
一、在管理员的环境下启动office2000 套件,然后 copy 管理员的profile。这个动作,最好是用除local administrator和domain user两者之外的账户来做,一般就用domain admin好了。这么做的目的是为了避免系统复制profile的过程中导致文件占用,从而导致复制失败。方法是在"我的电脑""用户配置文件",选择administrator的profile,然后"复制到"选择document and settings下的domain user的目录。确定。选择所有者"更改",更改为domain user。(注意:这一步非常重要,如果不更改,copy过去后,即使用domain user登陆,权限完全是administrator,因为它复制了管理员的注册表,而所有的安全策略设定都在注册表中纪录)
二、在fileserver上开设目录,放置data1.msi。或者在本地放置,(或者干脆放在netlogon目录:)这个做法,虽然可行,但不规范,我只是做个比方)然后在注册表中更改data1.msi的位置,指向它们就可以了。
对于office2000中data1.msi的位置如下:
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT/Installer/Products?E872D116BF00006799C897E/SourceList]
"LastUsedSource"=hex(2):6e,00,3b,00,31,00,3b,00,5c,00,5c,00,31,00,30,00,2e,00, 31,00,35,00,30,00,2e,00,37,00,2e,00,33,00,33,00,5c,00,73,00,6f,00,66,00,74, 00,77,00,61,00,72,00,65,00,5c,00,00,00
"LastUsedSource"=hex(2):6e,00,3b,00,31,00,3b,00,5c,00,5c,00,31,00,30,00,2e,00, 31,00,35,00,30,00,2e,00,37,00,2e,00,33,00,33,00,5c,00,73,00,6f,00,66,00,74, 00,77,00,61,00,72,00,65,00,5c,00,00,00
[HKEY_CLASSES_ROOT/Installer/Products?E872D116BF00006799C897E/SourceList/Net]
"1"=hex(2):5c,00,5c,00,31,00,30,00,2e,00,31,00,35,00,30,00,2e,00,37,00,2e,00, 33,00,33,00,5c,00,73,00,6f,00,66,00,74,00,77,00,61,00,72,00,65,00,5c,00,00, 00
"1"=hex(2):5c,00,5c,00,31,00,30,00,2e,00,31,00,35,00,30,00,2e,00,37,00,2e,00, 33,00,33,00,5c,00,73,00,6f,00,66,00,74,00,77,00,61,00,72,00,65,00,5c,00,00, 00
后面是hex的数据,在注册表中是可见的,大家可以修改好之后,再导出使用。至于这个注册表如何分发,编写adm也可,策略分发也行,脚本执行也可。
三、在管理员环境下运行所有office套件,然后将管理员的%userprofile%/Application Data/Microsoft下的相关目录(word/excel......)直接复制到domain user目录下的对应目录。那么domain user在第一次和后续启动的时候,不会出现重新注册用户信息的进度条,直接进入。
注:由此扩展到域中其他软件,在管理员下运行正常,但domain user登陆后,无法正常运行。比如:金山词霸,在domain user登陆后运行,无法显示词库;比如:译点通,在domain user登陆后运行,无法翻译。前者是domain user对于注册表中software/kingsoft无权限读写,将此权限赋予domain user即可;后者是domain user对于软件安装目录无权限读写,将此权限赋予domian user即可。关于在域中实施策略来赋予domain users对于注册表键值和软件安装路径的读写权限,方法如下:
在实践操作的时候,可以结合策略中的设定计算机安全属性中的"登陆"和"档案系统"来做策略的分发(抱歉这里是用繁体的名称,下面用图片来说明它的位置)
通过在登陆项目中新增机码(主键)通过在档案系统中新增资料夹(文件夹)(注:在指定文件夹路径的时候,为了使用win2k和winxp,请使用%systemroot%)就可以完成这一点。
通过在登陆项目中新增机码(主键)通过在档案系统中新增资料夹(文件夹)(注:在指定文件夹路径的时候,为了使用win2k和winxp,请使用%systemroot%)就可以完成这一点。
(注:如果当前系统中没有运行要调试的软件,那么软件的子键值是不会产生的,可以手动添加此主键。策略分发到client后,会自动应用于client的注册表中对应键值; 在添加用户的时候可以酌情考虑,是使用domain users还是其他;权限的设置,请点击修改旁边的拒绝,这样当前主键权限继承下去后,如果原来下面的子键已经有相应的权限,那么也会以拒绝优先)
相关信息:关于如何禁止domain user使用usb;如何禁止domain user运行windows自带游戏,请参考 [url]http://gnaw0725.blogdriver.com/gnaw0725/302835.html[/url]
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
