为了禁止用户安装非法软件及设定计算机配置,对所有加域的计算机都没有给用户管理员权限,用户安装软件通过SCCM发布。
但很多时候由于软件错误,需要进行卸载重新安装,当网管通过NetMeeting远程协助用户桌面时,也只能通过按住"Shift"键后,右键以管理员身份执行“添加和删除程序”
当域中计算机的本地管理员密码没有被更新成网管的统一密码时,网管也不能提升该卸载的权限,同时一些卸载的操作用户都可以自己完成,只是苦于自己没有卸载权限。
通过SCCM或SMS发布的软件,可以提升客户端权限使用户能以管理员方式安装软件,如果通过SCCM或SMS将“添加或删除程序”这个程序发布就可以,这样用户可以自行卸载程序。
通过查询,命令appwiz.cpl就是“添加或删除程序”的命令,大家可以在Windows运行内输入试一下。
1.我将该命令写入一文件,并保存为BAT文件,如下:
@echo off
appwiz.cpl
2.在SCCM或SMS上对域内用户发布该BAT文件。
3.用户在控制面板的“运行播发程序”内可以看到该程序,并可以管理员身份运行该程序。
类似appwiz.cpl的程序还有:
devmgmt.msc 打开设备管理器
diskmgmt.msc 打开磁盘管理器
services.msc 打开服务管理
通过SCCM或SMS发布后都可以以管理员身份打开。
看到这大家以为上面发布的“添加或删除程序”已经完成,不知大家有没有发现一个问题,在“添加或删除程序”内的“添加新程序处”用户可以从“CD或软盘”安装程序,如果用户以管理员身份运行了“添加或删除程序”那么用户也可以通过该处自行安装其他它非法软件了,这个设定又违背了公司的IT策略。
好不容易想到的点子就不能白白错过,如果有方法将从“CD或软盘”安装禁用就可以子了。
4.通过查询组策略设定,可以将该选项从“添加或删除程序”内移除,设定如下:
5.更新组策略后再查看“添加或删除程序”内,发现从“CD或软盘”安装已经没有了。现在可以放心的使用了
本文转自William宋 51CTO博客,原文链接:http://blog.51cto.com/sting/332704,如需转载请自行联系原作者
