Как запретить пользователям устанавливать программное обеспечение в Windows 2016 в Azure?

У меня есть сервер приложений, на котором запущен узел сеансов удаленных рабочих столов (RDSH) в Windows Server 2016 в изолированной облачной среде Azure, и я бы хотел, чтобы пользователи (входящие через RDP) не могли устанавливать программное обеспечение по прихоти. Как лучше всего обеспечить это?

Я знаю, что gpmc.msc был предложен в других подобных статьях о сбое сервера (например, здесь: как отключить пользователя для установки программы, являющейся пользователем домена?); однако, похоже, что решения, предоставленные с использованием групповой политики, не будут работать на моей платформе. Поэтому мой вопрос гораздо более конкретен. Я бы выполнил то, что я хочу через групповую политику; однако я получаю сообщение об ошибке: "Windows не может найти файл" gpmc.msc ". Убедитесь, что вы правильно ввели имя, а затем повторите попытку".

Есть еще идеи?

POSTSCRIPT: с тех пор я узнал, что gpmc.msc не загружается на Windows Server по умолчанию и должен быть установлен вручную через диспетчер сервера | Добавьте роли и особенности. Это помогло мне избежать ошибки, о которой я упоминал ранее, и позволило мне установить групповую политику DisableUserInstalls.

Но мой вопрос остается в силе: этот метод лучший или есть более управляемые идеи?

2 ответа

Не предоставляйте пользователям права администратора, тогда, если вы хотите заблокировать то, что работает в Windows, настройте AppLocker. без GPMC используйте secpol.msc, см. https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview

Белый список приложений. Что для Windows обычно означает AppLocker.

Другие вопросы по тегам