试试看WDAC或者MDAC呢?这两个效果应该会比Applocker好一点,但是需要额外的配置步骤以及自定义配置文件,比较需要一些时间。
我记得可以在Intune的Endpoint manager admin center配置一个,比如说强制只能安装Microsoft Store的应用等等。或者IT自己打包一个.MSIX的package到用户电脑自动装,统一推送统一安装就行,缺点就是会麻烦一点,但是出了更新问题要回滚需要成本。
仅仅提供下思路,希望有所帮助~
如何在域控服务器上部署域策略限制用户去安装非法软件、破解版软件、或盗版软件
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(89.60000000000001, 43%, 18%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
高星
0
信誉分
我是制造业企业的it管理员,我们大概有300个windows终端。现在要部署域策略让域用户无法安装非法软件:目前我们实际采用了禁止用户提权的域策略(即限制域用户提权)。让域用户无法调用管理员权限安装软件。
但这造成了一个新的问题:我们在本地管理员下安装好wps软件后(安装到D盘)切换回域账户,打开D盘的wps可执行文件使用时发现软件功能不全且无法升级,需要重新安装到域用户下,重新安装后正常。而域用户是禁止用户提权的,所以只能将域用户加入本地管理员组重新安装然后在踢出本地管理员组。我们觉得这个方法不太方便,例如用户要使用wps的新功能需要更新就必须要管理员权限去安装软件,这无疑增大了it部门的工作量。
所以我们尝试了以下方案去限制用户安装软件:
- 使用applocker将要运行的软件放入白名单中,这个方法可行,在关闭uac前需要输入管理员账号密码才能安装, 但如果关闭uac后,要运行需要管理员权限安装的软件则会在安全桌面弹出当前非管理员账户,所以在关闭uac后的场景下无法安装。暂时还没找到解决方案。
- 使用srp软件限制策略将要运行的软件放入允许列表中,并放入默认的windows、program file和program file x86文件夹,然后在受限制组里给域用户添加为管理员,这样就能让域用户使用管理员权限去安装wps了,这个方法一开始是可行的。但后面我发现使用该策略后导致一个非常奇怪的问题,edge浏览器打不开了,而且任务栏的系统徽标无法打开任何软件。。这和我使用applocker类似,我估计是任务栏的脚本文件被拦截了。这个不意外,但桌面的edge浏览器竟然打不开了?也能看到我设置了不受限制。就很奇怪。
以上是我们尝试使用的域策略,请问我们还能使用什么方法限制非法、盗版的软件安装?又能让用户去安装正版合法软件。
Windows 商业版 | Windows Server | 目录服务 | Active Directory
-
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(304, 38%, 39%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EDH%3C/text%3E%3C/svg%3E)
Daphne Huynh (WICLOUD CORPORATION) 505 信誉分 Microsoft 外部员工 仲裁人2025-12-11T08:22:55.8466667+00:00 欢迎来到Microsoft问答平台!
针对你的情况,转向基于发布者/证书的允许列表(通过AppLocker或MDAC)并使用IT管理的部署工具(如MECM或Intune),将提供安全性与可用性的最佳平衡。这种方法最大限度地减少管理员权限,防止未经授权的安装,并避免了基于路径限制时遇到的系统问题。
我想为你提供一套针对你需求的精炼建议。
1. AppLocker 和 SRP 的挑战
- 像 AppLocker 或__软件限制策略(SRP)这样的__工具是有效的,但如果配置过于宽泛(例如屏蔽整个系统文件夹),它们可能会阻碍关键的 Windows 进程或应用程序,如浏览器或任务栏组件,无法正常工作
- 尤其是在企业环境中,过于严格的策略常常导致意想不到的行为:有效软件无法运行、更新失效,或者用户不断遇到权限问题。
2. 替代方法与建议
- 使用现代应用控制(如 Microsoft Defender 应用控制 / MDAC),而非仅依赖路径规则
- 以 Microsoft Defender 应用控制(MDAC),前称 Windows Defender 应用控制(WDAC)为例。它提供了更细致的控制,且在正确配置下更不容易干扰系统进程。
- 这种方法降低了误报风险,避免阻碍了基于路径的规则常常难以做到的关键系统功能。
- 通过MECM(SCCM)或Intune等工具集中部署经过批准的软件
- 你不是赋予用户管理员权限,而是通过企业部署系统打包并推送经过批准的应用程序。
- 用户获得所需资源,而组织仍掌控局面。
- 这简化了更新流程,确保了许可合规,并避免了权限冲突。
- 使用基于发布者/证书的规则(非基于路径的)
- 与其使用基于路径的规则,不如在AppLocker或MDAC中使用基于发布者或证书的规则。这使得任何由可信发布者签署的软件都能运行,同时阻止未签名或未知软件。
- 这种方法更不容易阻塞系统组件,也更易维护。
- 维护软件目录或自助门户
- 为用户提供自助门户(通过MECM、Intune或第三方工具),用户可在无管理员权限的情况下请求和安装批准的软件。
- IT部门审核并批准请求,确保仅提供合法软件。
- 定期审计和更新政策
- 定期审查允许/阻断列表,并根据需要新软件或更新进行更新。
- 监控未授权软件运行尝试,并根据需要调整策略。
- 故障排除与政策设计技巧
- 在部署到生产环境前,务必在受控环境中测试新策略。
- 使用AppLocker或MDAC中的审计模式,识别哪些内容会被阻挡,而无需强制执行该阻挡,帮助你微调规则。
- 除非你确定所有必需的可执行文件都被允许,否则避免限制系统文件夹(Windows、Program Files、Program Files (x86))。
感谢你提问,祝你有美好的一天!
注:本回答已使用翻译工具进行翻译。请注意,可能存在语法或语义错误。感谢你的理解。如果答案有任何不清楚的地方,请在评论区留言,我们会尽快回复你。
-
高星 0 信誉分
2025-12-11T09:23:57.1433333+00:00 谢谢您,我使用applocker添加白名单策略,并且给域用户添加到管理员组,发现可以用管理员权限安装软件,并且也能做到限制白名单外软件的功能。至于mdac这个我发现只适用于windows 11,我们有windows7、10、11。暂时先用这个吧
-
Daphne Huynh (WICLOUD CORPORATION) 505 信誉分 Microsoft 外部员工 仲裁人
2025-12-12T03:09:14.9433333+00:00 谢谢你的更新。由于你的环境包含了Windows 7、10和11的混合设备,目前的做法是目前一个实用的解决方案。
再次感谢您来到QA平台分享您的咨询。
登录以评论