[обновлено] расположение файла легко. Это просто отозвать разрешение на запись в папку и все ее подпапки и файлы для Builtin\Users и предоставить Builtin\Administrators полное разрешение. Вы можете установить это через проводник, свойства-> разрешения или командную строку с помощью cacls (или icalcs, если вы используете win7)
Ключ regkey находится в моем окне win7, который уже доступен только для чтения (не для записи) пользователями и для чтения/записи локальными администраторами (regedit -> контекстное меню -> разрешения).
Если он по-прежнему ведет себя не так, как вы хотите, выясните, в каких группах состоит обычный пользователь (также в группах домена), а затем проверьте, как эти группы распространяются на локальный компьютер.
И, как предложил Бен в комментариях, вы можете начать новый вопрос о сбое сервера.
[конец обновления]
[до редактирования ответа] Я сомневаюсь, что вы можете запретить удаление «одного» приложения. С помощью групповой политики вы можете «Запретить удаление обновлений».
(в GPedit.msc в разделе «Конфигурация компьютера/шаблоны администрирования/компоненты Windows/установщик Windows»)
Групповая политика устанавливается администратором домена и применяется во всем домене, поэтому для нее не требуются «разрешения». Но вам нужно, конечно, также запретить локальным администраторам редактировать локальную групповую политику.
Еще один более сложный вариант — использовать групповую политику в разделе «Ограничение использования программного обеспечения» в настройках безопасности. Здесь вы можете ввести политику пути для имени файла msi или exe, который вы не хотите запускать.
Оба требуют проверки/тестирования, чтобы предотвратить это, чтобы многие ограничения не позволяли всем начинать что-либо...
person
rene
schedule
07.02.2011
