Назад | Перейти на главную страницу

Как запретить пользователям устанавливать программное обеспечение в Windows 2016 в Azure?

У меня есть сервер приложений, на котором запущен узел сеанса удаленного рабочего стола (RDSH) на Windows Server 2016 в изолированной облачной среде Azure, и я хотел бы запретить пользователям (которые входят в систему через RDP) устанавливать программное обеспечение по прихоти. Как лучше всего добиться этого?

Я знаю, что gpmc.msc предлагался в других подобных статьях о serverfault (например, здесь: как запретить пользователю устанавливать программу будучи пользователем домена?); однако кажется, что решения, предоставленные там с использованием групповой политики, не будут работать на моей платформе. Поэтому мой вопрос более конкретный. Я бы делал то, что хочу, через групповую политику; однако я получаю сообщение об ошибке: «Windows не может найти 'gpmc.msc'. Убедитесь, что вы правильно ввели имя, а затем повторите попытку».

Есть другие идеи?

Постскриптум: С тех пор я узнал, что gpmc.msc не загружается на Windows Server по умолчанию и должен быть установлен вручную через диспетчер серверов | Добавьте роли и функции. Это помогло мне преодолеть ошибку, о которой я упоминал ранее, и позволило мне установить групповую политику DisableUserInstalls.

Но мой вопрос все еще остается в силе: это лучший метод или есть более управляемые идеи?

не давайте пользователям права администратора, тогда, если вы хотите заблокировать то, что работает в Windows, настройте AppLocker. без GPMC используйте secpol.msc см. https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-overview

Белый список приложений. Что для Windows обычно означает AppLocker.