请教 AD group policy 2008 有关 SRP和 applocker 高手大大

CrazyKim

本人刚玩GPO 没多久,我要block user 不能installation ,  用过SRP 和 applocker。。觉得 SRP 比较好因为一次过block完然后慢慢开，如果是 applocker就要一部分一部分来block和开。。
想知道各位大大你们怎样block user installation???可以分享一下一下

CrazyKim

对了对了还有另外一个就是全部换 user account 去 user， 但是我们已经把全部电脑create administrator了，如果这样就要一个一个换。。。。

gan1026

promote 去AD
然后create user 咯。。。。
只给domian user 的话。。。。
user 什么installation 都要经过你了。。。。

CrazyKim

promote to AD???
不是很明白，你是说有这个function 在 GPO 或者是 只是AD 帮user 换去 domain user 罢了

CrazyKim

回复 3# gan1026

好像你说的，没错可以用但是。。我已经帮user全部的电脑create了 user account as administrator....如果这样我要一个一个 delete 或换去 users

gan1026

promote to AD???
不是很明白，你是说有这个function 在 GPO 或者是 只是AD 帮user 换去 domain user 罢了
CrazyKim 发表于 3-12-2011 11:32 PM

AD 加GPO可以做到呀。。。。

gan1026

回复  gan1026

好像你说的，没错可以用但是。。我已经帮user全部的电脑create了 user account as admin ...
CrazyKim 发表于 4-12-2011 12:07 AM

    是咯。。。
我也是一架架换。。。。。

CrazyKim

回复 6# gan1026


你说的是 GPO 里面的 local user and group???

khang

你可以使用gpo来disable local administrator （username = administrator)。但是你必须要确定你所有的机都有至少一个local user 是 在 administrators group里面的。
不然的话，你一世人都做不到你要做的东西。

例子：
PC1 -
local user : admin , administrator
domain user : user1

假设你已经把user1加入 administrators group。
你可以使用GPO enable "disable local administrator access“ （我知道看起来很混乱，但是GPO就是很多酱的设置）
force update 后，你就会发觉pc1 的 domain - user1,domain - administrator 是没有local administrator rights的。

CrazyKim

回复 9# khang
你说的方法我知道了，谢谢不错的建议。。
今天我才开始一架一架去换，最奇怪的是帮他们从administrator换去user了 但是还可以install。。。check过domain全部换user了。。

gan1026

administrator 要放password咯。。。。
去computer management 里面看看
local user and group 里面。。
看看administrator和power user有没有user 的名字和domain user
有就把它拿掉。。。