Comment empêcher l'application d'être désinstallée par un utilisateur (sans droits d'administration)?
https://stackoverflow.com/questions/4900857
-
29-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je dois interdire de désinstaller une application (pas un service!) Par un utilisateur sans droits spéciaux. Comment faire cela? L'installation sera effectuée par l'administrateur de domaine
Merci pour votre temps
Modifier] Je dois également empêcher la suppression de l'application du démarrage de Windows
Edit1] Pour clarifier: l'application est simple et est installée dans son dossier et ajoutée au démarrage de Windows (en fait au registre HKLM Software Microsoft Windows CurrentVersion Run). Ce dont j'ai besoin exactement, c'est d'interdire de supprimer ce dossier et cette clé de registre, pour les utilisateurs ordinaux, pas pour les administrateurs locaux.
La solution
Mis à jour] L'emplacement du fichier est facile. C'est une simple permission d'écriture de révocation sur le dossier et tous ses sous-dossiers et fichiers pour les utilisateurs intégrés, et donnant à Breetin Administrators Full Permmission. Vous pouvez le définir via l'explorateur, les propriétés-> les autorisations ou la ligne de commande avec CACLS (ou ICACS si vous êtes sur Win7)
La Regkey est sur ma boîte Win7 déjà uniquement lisible (non écrite) par les utilisateurs et la lecture / écriture par les administrateurs locaux (Regedit -> Menu contextuel -> Persmissions).
S'il ne se comporte toujours pas comme si vous vouliez déterminer dans quels groupes un utilisateur normal se trouve (également des groupes de domaine), puis vérifiez comment ces groupes se propagent à la machine locale.
Et tel que suscité par Ben dans les commentaires, vous pourriez commencer une nouvelle question sur le défaut du serveur.
FIN MISE À JOUR
Avant la réponse d'Edite] Je doute que vous puissiez interdire la désinstallation d'une application «une». Grâce à une politique de groupe, vous pouvez "retirer la suppression des mises à jour"
(dans gpedit.msc sous les modèles de configuration / administrateur informatique / composants Windows / Windows Installateur)
La politique de groupe est définie par un administrateur de domaine et est appliquée dans le domaine afin qu'elle ne nécessite pas de «persmissions». Mais vous devez également empêcher les administrateurs locaux de modifier la politique du groupe local.
Une autre option plus intimidante consisterait à utiliser une politique de groupe dans la partie de rectriction logicielle des paramètres de sécurité. Ici, vous pouvez saisir une stratégie de chemin pour le nom du fichier MSI ou EXE que vous ne souhaitez pas exécuter.
Les deux nécessitent la validation / les tests pour empêcher que beaucoup de restrictions empêchent tout le monde de commencer quoi que ce soit ...
Autres conseils
Si une demande exige que les droits administratifs soient installés, les non-administrateurs n'auront pas l'autorisation de le supprimer.
Si les utilisateurs ont des droits administratifs locaux, vous ne pouvez rien empêcher.
