שלום,

רציתי לדעת אם ישנה אופציה שאני אצליח לחסום את האופציה של התקנת תוכנות דרך GPMC

למחשב שהמשתמש שלו הוא מנהל מקומי?

העניין הוא שאני חייב שאותו משתמש יהיה מנהל מקומי כדי שתוכנה אחת תעבוד. אבל אותו בנאדם מתקין לי תוכנות על ימין

ועל שמאל... האם יש דרך לבטל את האופציה שהוא יתקין את התוכנות למרות היותו מנהל מקומי?

תודה מראש

למה לא לנסות להפוך אותו לpower user במקום administrator או להריץ את היישום עם credential שונה.

הרבה שירותים רצים עם impersonation משלהם בסביבת domain.

קודם כל תודה על המענה.

בעיקרון בתור POWER USER עדיין אין הוא יכול להתקין תוכנות על המחשב בסה"כ השימוש ב POWER USER הוא כמו מנהל מקומי

רק בלי היכולת למחוק את אותו מנהל מקומי מהמחשב אבל עדיין יש לו את אותם האופציות כמנהל אז זה לא הפיתרון.

עכשיו בנוגע ל impersonation ? לא ממש הבנתי מה זה אומר?

והישום עצמו הוא... לא נראה לי שיש אופציה להריץ עליו credential כלשהו..

תתן קצת פרטים כמו למה למשל המשתמש חייב להיות local administrator?

בגדול במהלך ההתקנה היא צריכה להיכנס ל SYSTEM 32 ונגיד שהתוכנה הותקנה ואני מסיר את המנהל המקומי ואני מפעיל את התכונה

קופצת הודעת שגיאה...

אני חשבתי על כיוון אחרי לגמרי.

אם אני יביא לאותן תיקיות כמו SYSTEM 32 הרשאה של מנהל -FULL CONTROL והיוזר המקומי ישאר רק יוזר, לדעתך זה יעזור?

אם זה ככה אז אפשר שההתקנה תרוץ עם credential שונה פשוט.

אצלנו בחברה למשל יש תוכנה שניגשת לDB שהאימות בו חייב להיות רק למשתמש מסויים. הפתרון היה פשוט להשתמש בbatch ששומר credentials של אותו המשתמש וכל פעם מריץ את זה בזהות שלו.

@echo off
runas /user:username@domain /savecred "C:\program-folder\program.exe"
pause

אחרי שמזינים את הסיסמא פעם אחת היא נשמרת ב cached credentials ואז היישום רץ בעצמו מתוך ה cache.

כמובן שה pause נועד כדי לאבחן בעיות במידה והן נוצרות בהפעלת היישום.

אוקיי נשמע רעיון לא רע.. אני אנסה ליישם את זה ואני אעדכן במידה ואני אצליח או לא אצליח.

תודה על הרעיון ועל ההעזרה כמובן ;D