特別な権限を持たないユーザーがアプリケーション (サービスではない!) をアンインストールすることを禁止する必要があります。これを行う方法?インストールはドメイン管理者によって行われます
御時間ありがとうございます
[編集]また、Windowsの起動からアプリケーションを削除しないようにする必要があります
[EDIT1]明確にするために:アプリケーションは単純で、そのフォルダーにインストールされ、Windowsのスタートアップに追加されます(実際にはHKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runレジストリに)。私が正確に必要としているのは、ローカル管理者ではなく一般ユーザーに対して、このフォルダーとこのレジストリ キーを削除することを禁止することです。
[更新] ファイルの場所は簡単です。これは、フォルダーとそのすべてのサブフォルダーおよびファイルに対する Builtin\Users の書き込み許可を取り消し、Builtin\Administrators に完全な許可を与えるだけです。これは、エクスプローラー、プロパティ->権限、またはcacls(またはwin7の場合はicalcs)を使用したコマンドラインで設定できます
regkey は私の win7 ボックスにあり、既にユーザーのみが読み取り可能 (書き込み不可) で、ローカル管理者 (regedit -> コンテキスト メニュー -> 権限) が読み取り/書き込み可能です。
それでも意図したとおりに動作しない場合は、通常のユーザーが所属しているグループ (ドメイン グループも含む) を特定し、それらのグループがローカル マシンにどのように伝達されているかを確認します。
また、コメントで Ben が提案したように、Server Fault に関する新しい質問を開始することもできます。
【更新終了】
[回答を編集する前] 「1 つの」アプリケーションのアンインストールを禁止できるとは思えません。グループ ポリシーを使用すると、「更新プログラムの削除を禁止する」ことができます。
(コンピューター構成/管理テンプレート/Windows コンポーネント/Windows インストーラーの下の GPedit.msc 内)
グループ ポリシーはドメイン管理者によって設定され、ドメイン全体に適用されるため、「アクセス許可」は必要ありません。ただし、もちろん、ローカル管理者がローカル グループ ポリシーを編集できないようにする必要もあります。
別のより困難なオプションは、セキュリティ設定のソフトウェア規制部分でグループ ポリシーを使用することです。ここで、実行したくない msi または exe ファイルの名前のパス ポリシーを入力できます。
どちらも、多くの制限により誰もが何かを開始できないようにするために、検証/テストが必要です...
アプリケーションのインストールに管理者権限が必要な場合、非管理者にはアプリケーションを削除する権限がありません。
ユーザーがローカルの管理者権限を持っている場合、何も防ぐことはできません。