我可以用AD来控制谁可以根据他们的角色来安装软件吗？

Question

一种情景。你必须组成一组员工，在广告中被认定为代理和工程师。我是否可以设置控件以便:代理不能安装软件工程师可以安装软件

谢谢你提前加梅

Answer 1

可以使用AppLocker策略根据组成员身份允许用户运行或阻止用户运行典型的Windows文件。但是，捕获.exe文件需要大量的计划和审核，以及长期的维护，因为您需要设置AppLocker以只允许运行所选的.exe文件。

通过不授予客户端计算机上的管理权限，可以防止用户在系统范围内安装软件。授予某些用户在客户端计算机上进行管理更改的能力的正确方法是为他们创建一个专用的管理帐户，然后通过该帐户控制访问。授予常规用户帐户管理权限是一种安全风险，应该避免；同样，您不应该授予这些帐户域管理权限，因为这是最简单的。

实现这一目标的最简单方法是为工程师的管理帐户创建一个组，然后创建一个GPO来将Admin Engineers组添加到客户端计算机上的本地Administrators组中。