AD域用户安装软件

Posted 2023-04-20

公司用了AD域，普通用户没有安装软件的权限，每次安装软件都跳出一个框需要用户名和密码。这个时候网管来输入AD域的管理员账号和密码。是否可以在AD域里设置一下，让安装软件时跳出框，输入用户名和密码是一个只有安装权限的账号，可以给到普通用户，而不用担心。

参考技术A 按你所说的情况，我近期也碰到了。200+pc，每台都安装软件，权限问题很严重。系统是win10。
这个方法是跳过输入密码的步骤，直接进行安装，出现其他用户帐户提示，可以调整或确认。数量众多，不可能每一个都输入密码。
我的方法是，在域里，赋予所有用户权限。隶属于：
administrators ,Domain admins,enterprise admins，Domain Users(默认组)。
之后，注销或重启电脑。 过渡期后，可关掉权限。 参考技术B linux 倒有，可惜windows没有，因为windows 的权限不够细化，不够细化到某个程序只能控制某个文件或资源
windows主要还是靠域控推送软件，并且按照正规管理的话，普通用户就不应该随便安装软件，特别是盗版软件，即便客户端达到这种效果，那么域控管理也就失去了意义，至少我个人觉得，你说的这种要求应该是不太符合微软的PC管理理念吧 参考技术C 1.软件限制策略概论：
“软件限制策略”就是来限制用户对软件的运行的。1.1软件限制策略的优先级：
他是利用组策略gpo来
设置的,所以可以在本地计算机、站点、域和ou等不同地方来设置。优先级由低到高：
1.2
软件限制策略的规则：
分为两种安全级别：
1、不受限制的（unrestricted）：既登录用户可以运行指定的软件（还要考虑ntfs的权限问题当然）。
2、不允许（disallowed）：不论用户对文件有那种访问权限，都不允许访问。
默认的为“不受限制”的，但我们可以通过“哈希规则”、“证书规则”、“路径规则”、“internet区域规则”等4种规则来建立例外的安全级别。
1.3规则
1.3.1、哈希规则：
“哈希（hash）”是根据软件程序内容计算出来的一连串固定数目的字节。因为是根据软件程序算出的，所以不同的软件有着不同的“哈希”值。
在为某个软件建立哈希规则，限制用户不允许运行此软件时，系统就会为他建立一个哈希值。当用户运行此软件时，计算机就会对比此哈希值，是否相同，如果相同，就拒绝此软件的运行。
而且软件的名称、存储地址，不会影响哈希规则。但当软件内容改变（如中毒），则将不在受哈希规则的约束。
1.3.2、证书规则：
我们也可以通过“签署证书”辨别软件。
但他只适用于
.msi
与脚本（scripts）,不适用于
.exe或.dll的程序。
如下图禁用360软件
1.3.3、路径规则：
可以通过软件所在路径来辩识软件，例如指定用户可以运行位于某个文件夹内的软件。但路径可以改变，所以当改变时，将不在受此限制。当然还可以通过注册表的路径来辩识软件。
1.3.4、internet区域规则：
可以利用软件所在的“internet区域”来辩识软件。其区域包括计算机、受信任站点、受限制的站点与internet
.如可以让用户不能运行“受限制的站点”内的软件。处本地计算机外，其余的可以通过ie——工具——internet选项——安全
来设定。
他们之间的优先级别由高到低：哈希规则、证书规则、路径规则、internet区域规则。
2.通过域策略简单禁用猎豹wifi方法

#yyds干货盘点#Windows Server之AD域软件分发

当一个公司里面有2000台主机的话，要给每个用户装上特定的软件是非常消耗时间的。AD域的用户则可以用更简单的方法——组策略软件分发，来统一进行安装。节省了大量的时间和人力。

在组织单位PM里面创建用户 LiShi。

要建立一个共享文件夹用来存储我们需要安装的软件。并且共享及安全权限要给验证用户只读权限。

打开组策略管理器——组策略对象——新建创建一个新的组策略对象。当然你也可以用它默认的进行修改。

在已经建立的新的组策略对象上双击或右键点编辑对新策略进行编辑，进入到“组策略管理编辑器”中展开“用户配置”并依次展开到“软件安装”，并点右键选择“新建”－“数据包”。

选择所需部署的软件，记住这里我们只能部署MSI格式的应用程序，EXE格式需要进行重新封装为MSI格式才能部署。格式不对无法发布，不过还好能转换。

建立好数据包后，我们将看到“软件安装”中已经有一条数据，其中“来源”中是网络路径，而部署状态是根据“软件设置”的默认状态来确定，主要有“已发布”和“已分配”两种。

在已部署软件的属性中我们可以在“部署”栏中选择它的类型“已发布”和“已分配”。“已发布”并不会将程序安装到客户端上，但我们可以在客户端的“添加更新程序”中可以看到，并当有需要的情况下用户可以自行选择安装。

“已分配”可以选择在用户登录到客户端时将部署的程序进行安装，登录时间主要在于软件在用的大小和网络的速度，这样用户登录任何一台电脑后都可以得到自己所需的程序。

​

我们只需要只读权限就够了。

​

完成组策略编辑后，在所需部署策略的OU上右键选择“链接现有GPO”，如果只想运行当前的组策略对象，那么我们可以选择“阻止继承”来将上一级的组策略对象阻止。

选择编辑好的“组策略对象”并“确定”。

​现在我们可以看到此OU已经链接到了刚编辑好的组策略对象。

刷新一下我们的策略。

服务器上我们已经设置完毕，现在需要用户自己去安装了，软件就在控制面板——添4.加新程序里面。

安装就OK。如果我们采用已分配的方案。到控制面板里可以看到，已经是自动安装过的，不需要再手动安装了。

组策略下发的逻辑和技术流程就已经完毕了。