Как предотвратить удаление приложения пользователем (без прав администратора)?

Question

Как предотвратить удаление приложения пользователем (без прав администратора)?

Мне нужно запретить удаление приложения (а не услуги!) Пользователем без каких-либо специальных прав. Как это сделать? установка будет выполнена администратором домена

Спасибо за ваше время

[РЕДАКТИРОВАТЬ] также мне нужно, чтобы предотвратить удаление приложения из автозагрузки Windows

[РЕДАКТИРОВАТЬ1], чтобы уточнить: приложение простое и устанавливается в его папку и добавляется в автозагрузку Windows (на самом деле в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Registry). Что мне нужно, так это запретить удаление этой папки и этого ключа реестра для обычных пользователей, а не для локальных администраторов.

0

windows installation permissions rights rights-management

Источник

user453271 04 фев '11 в 17:16

2 ответа

Решение

Если приложение требует административных прав для установки, не администраторы не будут иметь разрешения на его удаление.

Если у пользователей есть права локального администратора, то вы ничего не можете предотвратить.

2

Источник

user592 06 фев '11 в 22:12

Другие вопросы по тегам windows installation permissions rights rights-management

user578411 07 фев '11 в 14:21 2011-02-07 14:21 · Accepted Answer · 2011-02-07 14:21

[обновлено] расположение файла легко. Это просто отмена разрешения на запись для папки и всех ее подпапок и файлов для Builtin\Users, и предоставление Builtin\Administrators полного разрешения. Вы можете установить это через проводник, свойства-> разрешения или командную строку с помощью cacls (или icalcs, если вы используете win7)

Регкей на моей коробке win7 уже доступен только для чтения (не для записи) Пользователям и чтения / записи локальными администраторами (regedit -> Контекстное меню -> Разрешения).

Если он по-прежнему не ведет себя так, как вы хотите, выясните, в каких группах находится обычный пользователь (также доменные группы), а затем проверьте, как эти группы распространяются на локальный компьютер.

И, как предложил Бен в комментариях, вы можете начать новый вопрос о сбое сервера.

[конец обновления]

[перед редактированием ответа] Я сомневаюсь, что вы можете запретить удаление "одного" приложения. С помощью групповой политики вы можете "запретить удаление обновлений"

.

Групповая политика устанавливается администратором домена и применяется по всему домену, поэтому для нее не требуются "разрешения". Но вам, конечно, нужно, чтобы локальные администраторы не редактировали локальную групповую политику.

Еще один более пугающий вариант - использовать групповую политику в разделе "Отклонение программного обеспечения" параметров безопасности. Здесь вы можете ввести политику пути для имени файла MSI или EXE, который вы не хотите запускать.

И то, и другое требует проверки / тестирования, чтобы не допустить, чтобы многие ограничения не давали всем начать что-либо...