通过SMS/SCCM给受限用户卸载软件的权限

为了禁止用户安装非法软件及设定计算机配置，对所有加域的计算机都没有给用户管理员权限，用户安装软件通过SCCM发布。

但很多时候由于软件错误，需要进行卸载重新安装，当网管通过NetMeeting远程协助用户桌面时，也只能通过按住"Shift"键后，右键以管理员身份执行“添加和删除程序”

当域中计算机的本地管理员密码没有被更新成网管的统一密码时，网管也不能提升该卸载的权限，同时一些卸载的操作用户都可以自己完成，只是苦于自己没有卸载权限。

通过SCCM或SMS发布的软件，可以提升客户端权限使用户能以管理员方式安装软件，如果通过SCCM或SMS将“添加或删除程序”这个程序发布就可以，这样用户可以自行卸载程序。

通过查询，命令appwiz.cpl就是“添加或删除程序”的命令，大家可以在Windows运行内输入试一下。

1.我将该命令写入一文件，并保存为BAT文件，如下：

@echo off

appwiz.cpl

2.在SCCM或SMS上对域内用户发布该BAT文件。

3.用户在控制面板的“运行播发程序”内可以看到该程序，并可以管理员身份运行该程序。

类似appwiz.cpl的程序还有：

devmgmt.msc 打开设备管理器

diskmgmt.msc 打开磁盘管理器

services.msc    打开服务管理

通过SCCM或SMS发布后都可以以管理员身份打开。

看到这大家以为上面发布的“添加或删除程序”已经完成，不知大家有没有发现一个问题，在“添加或删除程序”内的“添加新程序处”用户可以从“CD或软盘”安装程序，如果用户以管理员身份运行了“添加或删除程序”那么用户也可以通过该处自行安装其他它非法软件了，这个设定又违背了公司的IT策略。

好不容易想到的点子就不能白白错过，如果有方法将从“CD或软盘”安装禁用就可以子了。

4.通过查询组策略设定，可以将该选项从“添加或删除程序”内移除，设定如下：

5.更新组策略后再查看“添加或删除程序”内，发现从“CD或软盘”安装已经没有了。现在可以放心的使用了