爲了更好的對客戶端權限進行管理和控制,推薦的做法是,我們只賦予終端用戶Domain User組的權限。但有些需要Local Administrator權限的軟件就無法安裝和運行。我目前能想到的辦法是:
a.所有軟件都安裝在固定的Program Files目錄,並通組策略賦予Program Files目錄Domain Users組完全控制權限
b.通過組策略賦予註冊表HKLM_SOFTWARE鍵Domain Users組完全控制權限
c.通過組策略賦予Domain Users組system32目錄完全控制權限
通過以上3個地方的修改,90%的軟件都可以正常運行了。對於一些特殊的軟件,我們用Filemon和Regmon來進行監控,找出所需的文件或註冊表值,來適當放開權限。