¿Cómo evitar que un usuario desinstale la aplicación (sin derechos de administrador)?
https://stackoverflow.com/questions/4900857
-
29-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Necesito prohibir la desinstalación de una aplicación (¡no un servicio!) por parte de un usuario sin algunos derechos especiales.¿Como hacer esto?la instalación la realizará el administrador del dominio
gracias por su tiempo
[EDITAR] también necesito evitar eliminar la aplicación del inicio de Windows
[EDIT1] para aclarar: la aplicación es simple y se instala en su carpeta y se agrega al inicio de Windows (en realidad, al registro HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run).Lo que necesito exactamente es prohibir eliminar esta carpeta y esta clave de registro, para usuarios ordinales, no para administradores locales.
Solución
[actualizado] la ubicación del archivo es fácil. Eso es simple revocar el permiso de escritura en la carpeta y todas sus subcarpetas y archivos para Builtin \ Users, y otorgar permiso completo a Builtin \ Administrators. Puede configurar esto a través del Explorador, propiedades-> permisos o línea de comandos con cacls (o icalcs si está en win7)
La clave de registro está en mi caja de win7 y solo los usuarios pueden leerla (no escribirla) y los administradores locales los pueden leer / escribir (regedit -> menú contextual -> permisos).
Si todavía no se comporta como usted quiere, averigüe en qué grupos está un usuario normal (también grupos de dominio) y luego verifique cómo esos grupos se propagan a la máquina local.
Y como sugirió Ben en los comentarios, puede comenzar una nueva pregunta sobre Falla del servidor.
[finalizar actualización]
[antes de editar la respuesta] Dudo que pueda rechazar la desinstalación de "una" aplicación. Mediante una política de grupo, puede "inhibir la eliminación de actualizaciones"
(en GPedit.msc en Computer Config / Admin templates / windows components / windows installer)
La Política de grupo la establece un administrador de dominio y se aplica en todo el dominio, por lo que no requiere "permisos". Pero, por supuesto, también debe evitar que los administradores locales editen la política de grupo local.
Otra opción más abrumadora sería utilizar una política de grupo en la parte de Rectificación de software de la Configuración de seguridad. Aquí puede ingresar una política de ruta para el nombre del archivo msi o exe que no desea que se ejecute.
Ambos requieren validación / prueba para evitar que demasiadas restricciones impidan que todos inicien algo ...
Otros consejos
Si una aplicación requiere derechos administrativos para ser instalada, los no administradores no tendrán permiso para eliminarla.
Si los usuarios tienen derechos administrativos locales, no puede evitar nada.
