gnaw0725 的BLOG
用户名：gnaw0725
文章数：355
评论数：171
访问量：1104579
注册日期：
阅读量：24883
阅读量：263740
阅读量：1000396
阅读量：150046
51CTO推荐博文
如何使用组策略软件发布的权限疑问：我先向你描述一下我的试验环境:一台DC(windows 2003 standard),一台客户端xp(sp2)。我在dc中新建了一个ou1和两个用户1和2.user1是domain admins组的成员.user2是domain users组的成员.我在ou1中发布软件adminpak.msi.我还在用户和计算机策略中设定了windows installer一最高权限运行.user1.可以安装.user2可以执行安装,但最后提示特权不够拒绝安装.关于对软件分发的几点疑问:
1.当用户登陆网域时策列是套进去了,在控制面板中可以看见adminpak.msi的安装项目能不能说明分发是成功的?该步是用system吗?但该步只是预安装,对客户端做了什么动作呢?向注册表内写了什么东西呢?
2.用户在控制面板添加该程序时用了什么权限,是用系统还是该用户.我个人认为是用户权限.user启动添加的权限.(不知道这么说恰当吗?)system进行安装.windows installer是用system账户登陆的.
3.组策略中有:alway instal with elevated privileges有什么作用呢?我对用户和计算机都启用了该策略.但还是没有将adminpak.msi装进去.您看到的文章来自活动目录seo
回答：我先回答您提出的问题，然后再给出如何解决软件分发问题的方法。
1、当软件按照用户分发时，windows installer将会执行如下动作：
a、在当前用户的profile目录中写入相应应用程序的快捷方式
b、相应的应用程序列表出现在添加/删除列表中
c、向注册表的 HkCU\Software\Classes 写入COM注册信息
d、对应用程序执行赋予当前用户权限或者提升权限
e、应用程序的图标以及相关文件写入 %USERPROFILE%\Application
Data\Microsoft\Installer\{ProductCode GUID}
f、为当前用户设置与应用程序相关的属性值，例如：
DesktopFolder、ProgramMenuFolder、StartMenuFolder、StartUpFolder、TemplateFolder、AdminToolsFolder&&
2、程序的安装都是使用system权限，所不同的是，如果管理员指定了该程序分发给某些用户账户，那么该程序执行的时候，将使用相应用户账户的权限。
3、alway instal with elevated privileges 恰巧就是针对第2个问题。当您同时在计算机策略和用户策略中指定了该策略项以后，那么即便应用程序是对用户账户分发，那么用户账户在执行该应用程序的时候，也将使用system权限。当然，这个策略势必会给系统带来安全性风险。受策略影响的用户帐户将可能有权限访问及写入本地计算机上的受保护的资源，例如系统注册表和系统目录。
那么如何解决您遇到的问题呢？一般来说，客户端在套用应用程序分发策略时，将会有两个地方遇到权限问题，一是软件分发点，也就是共享软件的目录，相应的计算机账户或者用户账户至少需要对共享目录拥有可读权限。二是软件执行，对计算机账户指派，由于是使用system安装并执行，一般不会有什么问题，但对于用户账户分发，就可能会由于无法读写应用程序的某些目录或者注册表键值而执行失败。
通常，我们有两种方法来debug这个问题。
1、通过观察日志找到问题所在以及相关的错误信息。这包括：
a、应用程序日志，这存在于对应的客户端计算机上，您需要记录相应日志的全部内容，这包括 source and id and detail。
b、userenv.log，位置在对应客户端计算机上 %windir%\debug\usermode\userenv.log
这是客户端组策略扩展在执行相应的策略时给出的日志。
c、appmgmt.log，位置在对应客户端计算机上 %windir%\debug\usermode\appmgmt.log
这是应用程序安装过程中的日志。
d、msilog，位置在对应客户端计算机上 %temp%\msi*.log 这是Windows Installer引擎在执行安装任务时给出的日志。您看到的文章来自活动目录seo
2、通过GPMC收集应用程序分发策略的执行结果集，如果有设置错误，那么报告中将会给出相应的信息。
您可以通过我上面提到的方法，收集一下策略执行的信息，然后根据这些信息进行搜索，从而获得更为准确的解决方法。
组策略软件分发权限的相关文章请参考
---gnaw0725本文出自 “” 博客，请务必保留此出处
了这篇文章
类别：┆阅读(0)┆评论(0)　　运行“gpedit.msc”(组策略)时，系统会提示“本次操作由于计算机的限制而取消，请与管理员联系”，还有时运行其他程序也会报同样的错误，但是以管理员身份登录的。
　　在电脑上运行了“只运行许可的Windows应用程序”的策略，而且未将gpedit.msc本身添加入允许系统运行的程序。此组策略的特点是不能禁止在CMD命令窗口下运行程序，所以现在要想办法运行CMD(如果现在没限制CMD，只要在CMD窗口下运行“mmc （c:\windows\system32\gpedit.msc”即可）。
　　如果CMD也被禁止，可以通过以下方法来恢复，重启计算机，在启动时按下F8键，选择“带命令行提示的安全模式”启动，系统会自动运行CMD命令窗口，现在你可以在提示符下运行mmc c:\windows\system32\gpedit.msc，这将打开组策略。展开“用户配置→管理模板→系统”，在右侧找到“只运行许可的Windows应用程序”策略，将它设置成“未配置”，再“确定”即可。
声明：该文章系网友上传分享，此内容仅代表网友个人经验或观点，不代表本网站立场和观点；若未进行原创声明，则表明该文章系转载自互联网；若该文章内容涉嫌侵权，请及时向
上一篇：下一篇：
相关经验教程
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益修改电脑时间提示无权限怎么解决_大白菜
修改电脑时间提示无权限怎么解决
来源：时间：
& & & &有时候电脑系统上的时间和北京时间不一致时，用户就会点击任务栏右下角的时间图标来修改，但如果遇到提示没有权限修改系统时间，该怎么办呢？这种情况通常是帐户被设了限制，我们通过添加用户权限就可以轻松解决了。
& & & &步骤如下：
& & & &1.按下组合键win+r键打开运行，输入&gpedit.msc&按回车确定，打开组策略编辑器窗口。
& & & &2.在打开的组策略编辑器窗口中，依次点击展开左侧菜单中的&Windows设置&-&安全设置&-&本地策略&-&用户权限分配&，接下来在用户权限分配的右侧窗口中找到&更改系统时间&选项。
& & & &3.接下来，双击打开&更改系统时间&对话框，然后再点击&添加用户或组&，在打开的新窗口上，点击&高级&按钮，即会打开&选择用户或组&，输入要添加权限的帐户名，再点击确定按钮保存。
& & & &4.完成之后，重启即可。
& & & &以上就是关于电脑没有权限修改系统时间的处理办法，通过在组策略编辑器中增加帐户权限就可以重新修改系统时间了。
大白菜推荐教程
在很多组装的台式电脑中，
大白菜下载
大白菜电脑课堂查看: 1853|回复: 12
win8.1 打开组策略提示无权限 上传图片
签到天数: 888 天[LV.10]以坛为家III
马上注册，欢迎加入IT之家社区大家庭。
才可以下载或查看，没有帐号？
本帖最后由 fortiss 于
13:02 编辑
今天打开就这样了~
虽然以前没怎么用~
PrtScr capture.png (143.07 KB, 下载次数: 0)
13:02 上传
签到天数: 338 天[LV.8]以坛为家I
你要上个图便于网友给你分析。
签到天数: 971 天[LV.10]以坛为家III
使用账户是什么类型？标准用户？
签到天数: 888 天[LV.10]以坛为家III
使用账户是什么类型？标准用户？
管理员账户~
签到天数: 508 天[LV.9]以坛为家II
可能被病毒锁定了。
签到天数: 971 天[LV.10]以坛为家III
管理员账户~
用杀软扫描，组策略被禁用是常规检测项目，可以用它恢复。
签到天数: 888 天[LV.10]以坛为家III
用杀软扫描，组策略被禁用是常规检测项目，可以用它恢复。
我用的是ESST 扫描 gpedit 无异常
签到天数: 971 天[LV.10]以坛为家III
我用的是ESST 扫描 gpedit 无异常
可以用国产卫士来解决。
签到天数: 888 天[LV.10]以坛为家III
可以用国产卫士来解决。
没别的办法了么？
我在安全模式下可以打开 策略组~
签到天数: 971 天[LV.10]以坛为家III
没别的办法了么？
我在安全模式下可以打开 策略组~
安全模式下登录删除下面注册表
HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1-A7D3-E3}
签到天数: 888 天[LV.10]以坛为家III
安全模式下登录删除下面注册表
HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC\{8FC0B734-A0E1-11D1 ...
此目录下什么都没~
签到天数: 971 天[LV.10]以坛为家III
此目录下什么都没~
计算机加入域了吗？
签到天数: 888 天[LV.10]以坛为家III
计算机加入域了吗？
没有加入~~~~
版权所有 (C)