Как можно доказать, что пользователи не могут устанавливать программное обеспечение на свой локальный компьютер без привилегий локального администратора?
Владельцы системы могут просматривать объект групповой политики и показывать, что единственными группами, имеющими доступ к BUILTIN\ Администраторы, являются domain\Domain Admins
домена и domain\CustomAdminGroup
, но они не могут предоставить никаких доказательств того, что возможность установки программного обеспечения ограничена этой группой. Существует ли конфигурация, которая обеспечивает это ограничение, или конфигурация, которая говорит следствие (не локальные администраторы не могут устанавливать программное обеспечение)?
В качестве альтернативы, есть ли документация от Microsoft, в которой говорится, что Software installation privileges are inherently only available to the Local Administrators
?