diga
23-07-2009, 12:27
Вобщем задача стоит следующая:
1. Опубликовать ПО для пользователей домена.
2. При этом на компьютерах применить политику файловой системы с разрешениями Domain Users "только для чтения\просмотра\выполнения" на %systemdrive%.
На деле получаем следующее: пользователь не может создавать папки\файлы на системном диске, однако в хоумпатче юзер оставляет за собой полные права.
При этом работает политика публикации ПО, разрешенного для конкретного контейнера пользователей.
Всё бы хорошо, однако при установке от пользователя вылетает ошибка "Нет доступа", в журнале 101 Error AppManag. Но ведь на сколько мне известно "установщик" в данном случае использует теневую учетную запись "winlogon" (или как то так), для которой собственно права полные. + в политиках "установщика" стоит "выполнять с повышенными правами" как для пользователя так и для компьютера.
Собсно вот такой вот тупик! Подскажите куда копать!
PS
Хочу добавить что если не применять политику разрешения для файловой системы то все работает гуд. Но задача стоит в том что бы данная политика работала тоже. Т.е. пользователям нужно запретить создавать директории на диске, оставив полный доступ только в "homepath".
1. Опубликовать ПО для пользователей домена.
2. При этом на компьютерах применить политику файловой системы с разрешениями Domain Users "только для чтения\просмотра\выполнения" на %systemdrive%.
На деле получаем следующее: пользователь не может создавать папки\файлы на системном диске, однако в хоумпатче юзер оставляет за собой полные права.
При этом работает политика публикации ПО, разрешенного для конкретного контейнера пользователей.
Всё бы хорошо, однако при установке от пользователя вылетает ошибка "Нет доступа", в журнале 101 Error AppManag. Но ведь на сколько мне известно "установщик" в данном случае использует теневую учетную запись "winlogon" (или как то так), для которой собственно права полные. + в политиках "установщика" стоит "выполнять с повышенными правами" как для пользователя так и для компьютера.
Собсно вот такой вот тупик! Подскажите куда копать!
PS
Хочу добавить что если не применять политику разрешения для файловой системы то все работает гуд. Но задача стоит в том что бы данная политика работала тоже. Т.е. пользователям нужно запретить создавать директории на диске, оставив полный доступ только в "homepath".