как предотвратить удаление приложения пользователем (без прав администратора)?
https://stackoverflow.com/questions/4900857
-
29-10-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Мне нужно запретить удаление приложения (не службы!) пользователю без каких-либо специальных прав.Как это сделать?установка будет производиться администратором домена
спасибо за уделенное время
[РЕДАКТИРОВАТЬ] также мне нужно предотвратить удаление приложения из запуска Windows
[EDIT1] для пояснения: приложение простое, устанавливается в свою папку и добавляется при запуске Windows (фактически в реестр HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run).Что именно мне нужно, так это запретить удаление этой папки и этого раздела реестра для обычных пользователей, а не для локальных администраторов.
Решение
[обновлено] расположение файла очень просто. Это просто отмена разрешения на запись в папку и все ее подпапки и файлы для Builtin \ Users и предоставление Builtin \ Administrators полного разрешения. Вы можете установить это через Проводник, свойства-> разрешения или командную строку с помощью cacls (или icalcs, если вы используете win7)
Ключ regkey находится в моем окне win7 и уже доступен для чтения (не для записи) пользователями и для чтения / записи локальными администраторами (regedit -> Контекстное меню -> Права доступа).
Если он по-прежнему не ведет себя так, как вы хотите, выясните, в каких группах находится обычный пользователь (также группы домена), а затем проверьте, как эти группы распространяются на локальный компьютер.
И, как предложил Бен в комментариях, вы можете задать новый вопрос о сбое сервера.
[конец обновления]
[перед редактированием ответа] Сомневаюсь, что вы можете запретить удаление «одного» приложения. С помощью групповой политики вы можете «Запретить удаление обновлений»
(в GPedit.msc в разделе Computer Config / Admin templates / windows components / windows installer)
Групповая политика устанавливается администратором домена и применяется во всем домене, поэтому не требует «полномочий». Но вам нужно, конечно, также запретить локальным администраторам редактировать локальную групповую политику.
Еще один более сложный вариант - использовать групповую политику в разделе «Ограничение программного обеспечения» в настройках безопасности. Здесь вы можете ввести политику пути для имени файла msi или exe, который вы не хотите запускать.
Оба требуют проверки / тестирования, чтобы предотвратить это, слишком много ограничений не позволяют никому что-либо запускать ...
Другие советы
Если для установки приложения требуются права администратора, не администраторы не смогут его удалить.
Если у пользователей есть права локального администратора, вы ничего не можете предотвратить.
