come impedire che un'applicazione venga disinstallata da un utente (senza diritti di amministratore)?
https://stackoverflow.com/questions/4900857
-
29-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Devo vietare la disinstallazione di un'applicazione (non un servizio!) da parte di un utente senza alcuni diritti speciali.Come fare questo?l'installazione verrà eseguita dall'amministratore del dominio
grazie per il tuo tempo
[EDIT] inoltre devo impedire la rimozione dell'applicazione all'avvio di Windows
[EDIT1] per chiarire: l'applicazione è semplice e viene installata nella sua cartella e aggiunta all'avvio di Windows (in realtà nel registro HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run).Quello che mi serve esattamente è vietare la rimozione di questa cartella e di questa chiave di registro, per gli utenti ordinali, non per gli amministratori locali.
Soluzione
[aggiornato] la posizione del file è facile. Si tratta semplicemente di revocare l'autorizzazione di scrittura sulla cartella e su tutte le sue sottocartelle e file per Builtin \ Users, e fornire a Builtin \ Administrators la piena autorizzazione. Puoi impostarlo tramite Explorer, proprietà-> autorizzazioni o da riga di comando con cacls (o icalcs se sei su win7)
Il regkey è sulla mia scatola win7 già leggibile (non scrivibile) dagli utenti e in lettura / scrittura dagli amministratori locali (regedit -> menu contestuale -> Persmissions).
Se ancora non si comporta come si desidera, capire in quali gruppi si trova un utente normale (anche gruppi di dominio) e quindi controllare come questi gruppi vengono propagati alla macchina locale.
E come suggerito da Ben nei commenti, potresti iniziare una nuova domanda su Server Fault.
[fine aggiornamento]
[prima di modificare la risposta] Dubito che tu possa impedire la disinstallazione di "una" applicazione. Per mezzo di un Criteri di gruppo puoi "Impedire la rimozione degli aggiornamenti"
(in GPedit.msc in Configurazione computer / Modelli di amministrazione / componenti di Windows / programma di installazione di Windows)
I Criteri di gruppo vengono impostati da un amministratore di dominio e vengono applicati in tutto il dominio, quindi non richiedono "autorizzazioni". Ma è ovviamente necessario impedire anche agli amministratori locali di modificare la politica di gruppo locale.
Un'altra opzione più scoraggiante sarebbe quella di utilizzare un criterio di gruppo nella parte di restrizione software delle impostazioni di sicurezza. Qui puoi inserire un criterio di percorso per il nome del file msi o exe che non desideri venga eseguito.
Entrambi richiedono convalida / test per evitare che troppe restrizioni impediscano a tutti di avviare qualsiasi cosa ...
Altri suggerimenti
Se un'applicazione richiede che i diritti amministrativi da installare, non gli amministratori non avranno il permesso di rimuoverlo.
Se gli utenti hanno diritti amministrativi locali, non è possibile impedire nulla.
