如何防止用户卸载应用程序（没有管理员权限）？

Question

我需要禁止没有某些特殊权限的用户卸载应用程序（不是服务！）。如何做到这一点？安装将由域管理员完成，

感谢您的时间

[编辑] 我还需要防止从 Windows 启动中删除应用程序

[编辑1] 澄清：应用程序很简单，安装在其文件夹中并添加到 Windows 启动（实际上是 HKLM\软件\微软\Windows\CurrentVersion\运行注册表）。我真正需要的是禁止为普通用户而不是本地管理员删除此文件夹和此注册表项。

Answer 1

[更新]
文件位置很容易。这很简单，撤销Builtin\Users对该文件夹及其所有子文件夹和文件的写权限，并给予Builtin\Administrators完全权限。您可以通过资源管理器、属性-> 设置此项权限或命令行明智地使用cacls（或icalcs，如果您使用的是win7）

regkey在我的win7盒子上已经只能由用户读取（不可写入），并且由本地管理员读取/写入（regedit - >上下文菜单 - >权限）。

如果它的行为仍然不像您想要的那样找出普通用户所在的组（也是域组），然后检查这些组如何传播到本地计算机。

正如 Ben 在评论中所建议的，您可能会就服务器故障提出一个新问题。

[更新结束]

[编辑回复之前]
我怀疑您是否可以禁止卸载“一个”应用程序。通过组策略，您可以“禁止删除更新”

（在计算机配置/管理模板/Windows 组件/Windows 安装程序下的 GPedit.msc 中）

组策略由域管理员设置，并在整个域中强制执行，因此它不会不需要“权限”。但您当然还需要阻止本地管理员编辑本地组策略。

另一个更令人畏惧的选择是在安全设置的软件限制部分使用组策略。您可以在此处输入不希望运行的 msi 或 exe 文件名称的路径策略。

两者都需要验证/测试，以防止太多的限制阻止每个人开始任何事情......

Answer 2

如果应用程序需要管理权限才能安装，则非管理员将无权删除它。

如果用户拥有本地管理权限，那么您无法阻止任何事情。