none
windows server组策略权限问题 RRS feed

  • 问题


  • 1、ad+ntfs中计算机账号   computer1 的权限是否等同于 computer1\system 账号的权限?

    2、现在想限制某个共享目录下的msi文件仅能够(组策略-计算及策略-软件安装)使用,其他用户无法访问及读取,是否有可操作方法?

    3、组策略中是否有办法卸载pc客户端某个软件?

    2020年8月21日 2:34

答案

  • 尊敬的客户,您好。

    不客气呢,感谢您的反馈。

    2,通过组策略安装软件,首先需要创建一个共享目录,然后将安装程序.msi放到这个共享目录下。接下来需要设置访问权限。根据我们希望达到的效果,我们可以尝试以下操作。

    1)创建一个目录,将安装程序.msi放到这个目录下。因为是计算机设置,计算机需要对此目录有读取的权限。可以先创建一个组,然后将计算机账户添加到这个组。再设置此目录共享给这个组。具体如下图:





    2)打开AD用户和计算机,创建OU,并将计算机账户添加到此OU中。



    3)打开组策略管理器,新建GPO,然后将此GPO链接到上述的OU。然后编辑此GPO,选择计算机配置-策略-软件设置-软件安装。右击,选择“新建”-“数据包”。选择之前共享目录下的数据包。



    4)登录到OU里的计算机账户,运行gpupdate /force,然后重启计算机。可以看到计算机已自动安装程序包。



    以上的实验中,单独对计算机账户设置了权限,用户无法看到和读取.msi。我们可以查看下此方法是不是我们所希望达到的效果。

    3,msi软件如果不是通过组策略推送安装的话,是没有直接的组策略可以卸载这些软件的。如之前所言,我们可以尝试设置开机脚本组策略来卸载软件。

    希望以上的信息对您有所帮助。如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2020年8月24日 3:44
    2020年8月21日 10:08

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    1,计算机账号computer1的权限等同于system账号的权限。计算机账号对自己的称呼就是system。

    2,如果想限制其他用户无法访问以及读取共享目录下的msi文件,可以尝试以下操作:

    1)设置此目录共享,添加赋予此权限的用户账号或者组,选择设置权限读取。



    上述设置结束后,查看NTFS权限,新添加的用户账号权限如下:



    此用户登录客户端,可以访问此共享目录。只需要限定特定的用户对此共享目录的权限即可,其他用户无法访问和读取。



    3,请问我们的软件是如何部署的?如果是通过组策略软件安装部署的话,可以按照下面的操作删除部署的程序包。



    如果是通过其他方式部署的话,没有直接的组策略配置卸载PC客户端的软件。根据搜索的结果来看,我们可以尝试设置开机脚本来卸载软件。首先需要编写卸载软件的脚本,然后设置开机脚本组策略配置。

    如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月21日 6:41
  • 感谢您的耐心回答

    2、我希望达到的效果是,组策略-计算机设置-软件安装   \\共享目录\\不想让用户看到和读取的.msi     ,这个msi只能用组策略推送安装,普通用户都无法读取

    3、msi软件不是通过组策略推送安装的

    2020年8月21日 7:16
  • 尊敬的客户,您好。

    不客气呢,感谢您的反馈。

    2,通过组策略安装软件,首先需要创建一个共享目录,然后将安装程序.msi放到这个共享目录下。接下来需要设置访问权限。根据我们希望达到的效果,我们可以尝试以下操作。

    1)创建一个目录,将安装程序.msi放到这个目录下。因为是计算机设置,计算机需要对此目录有读取的权限。可以先创建一个组,然后将计算机账户添加到这个组。再设置此目录共享给这个组。具体如下图:





    2)打开AD用户和计算机,创建OU,并将计算机账户添加到此OU中。



    3)打开组策略管理器,新建GPO,然后将此GPO链接到上述的OU。然后编辑此GPO,选择计算机配置-策略-软件设置-软件安装。右击,选择“新建”-“数据包”。选择之前共享目录下的数据包。



    4)登录到OU里的计算机账户,运行gpupdate /force,然后重启计算机。可以看到计算机已自动安装程序包。



    以上的实验中,单独对计算机账户设置了权限,用户无法看到和读取.msi。我们可以查看下此方法是不是我们所希望达到的效果。

    3,msi软件如果不是通过组策略推送安装的话,是没有直接的组策略可以卸载这些软件的。如之前所言,我们可以尝试设置开机脚本组策略来卸载软件。

    希望以上的信息对您有所帮助。如有问题,请随时联系我们。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 nelson2004 2020年8月24日 3:44
    2020年8月21日 10:08
  • 尊敬的客户,您好!

    请问我们的问题解决了吗?如果您使用自己的解决方案解决问题,请在此处分享您的经验和解决方案。对于有类似问题的其他社区成员来说,这将非常有益。如果我们的回复对您有帮助,请“标记为答案”以帮助其他社区成员快速找到有用的回复。

    感谢您的支持。

    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月24日 1:50
  • 感谢您的耐心回答
    2020年8月24日 3:44
  • 尊敬的客户,您好!

    不客气呢,感谢您的支持。非常感谢您将我的回复标记为答案,这将可以帮助其他社区成员快速找到有用的回复。

    如有其他任何问题,欢迎您再在此论坛发帖。再次感谢您的支持。


    此致,
    Hannah Xiong

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年8月24日 5:29