У меня разные OU для разных отделов. Например Механическое ОУ и Программисты OU. Я не хочу полностью запрещать пользователям устанавливать и удалять программное обеспечение. Например, пользователи механического подразделения должны иметь возможность устанавливать программное обеспечение САПР (такое как AutoCAD, SolidWorks). Программисты не должны иметь возможность устанавливать это программное обеспечение в своей системе. Программисты должны иметь возможность устанавливать и удалять только те программы, которые им необходимы, и наоборот. Как я могу этого добиться?
Используйте политики ограниченного использования программ в GPO. Установите для уровня безопасности по умолчанию значение «Неограниченный». В разделе «Дополнительные правила» установите правило пути, используя путь к файлу с подстановочными знаками (например, * autocad * или * solidworks *), и установите для индивидуального уровня безопасности значение «Запрещено».
Я бы посмотрел на использование политик Applocker, развернутых из AD GPO. Это технологический прогресс политик ограниченного использования программ и имеет несколько хороших функций для внесения приложений в белые и черные списки. Здесь вы найдете руководство MS о том, как его настроить:
В информации говорится, что это применимо к Windows 10, но политики Applocker могут быть развернуты в Windows 7 и выше. Надеюсь, это поможет.
Ура
Джо