Недавно я установил SCCM 1606 в свою среду, которая содержит основной лес / домен и дочерние домены. У меня все работает, но то, что я ищу, - это запретить администраторам домена и пользователям для всех дочерних доменов устанавливать любую программу, если только она не выполняется через SCCM или если пользователь не является администратором предприятия, тогда только они могут устанавливать программы. Есть ли способ ограничить это? Кажется, я не могу найти способ запретить администраторам домена устанавливать файлы.
Администраторы домена имеют права на администрирование домена и составляющих его компьютеров. Если вы попытаетесь удалить эти права, у вас будет плохой день - и, в любом случае, администратор домена может отменить ваше изменение, чтобы снова предоставить себе права.
Если вы не хотите, чтобы администраторы домена имели эти права, не делайте их администраторами домена. Если вы хотите, чтобы они управляли объектами в Active Directory, используйте делегирование управления.