2003域中限制用户安装和卸载软件的权限

在win2003的域环境下，组策略的使用让我们能更方便的管理域内的共享资源以及域内用户的使用权限等诸多问题，使管理员的日常维护效率大大提高，但世间万物皆有利弊，同样人也一样会犯错误，在日常的维护工作中，由于管理员的疏忽操作导致的各种问题比比皆是。

下面我们就来讨论一种看似比较棘手的情况。

在win2003中，当某个域中的用户或本地用户被策略拒绝了本地登陆的权限，当这个用户在域中的计算机登陆时会被提示“此系统的本地策略不允许您采用交互式登录”，使得用户无法登陆本地计算机，同样也不能登陆域，通常遇到这种问题，我们的解决办法是，用管理员账号登陆域控制器，修改一下策略，把此用户从“拒绝本地登录”列表中删除即可，但如果由于人为的操作失误，管理员把所以用户的本地登陆权限都禁止了，导致了域中所有用户都不能本地登陆域内计算机（包括域管理员以及本地管理员），这种情况就比较棘手了，我们用什么方法能解决这看似不能解决的问题呢？通过查询相关资料以及测试，我们知道所有策略的设置都保存在域控制器（DC）的windows文件夹下的sysvol文件夹下，以GUID为文件夹名，其中安全设置部分保存在DC的windows\sysvol\sysvol\域名\policies\策略的GU ID\MACHINE\Microsoft\windows NT\SecEdit\GptTmpl.inf 这个文件中，这是一个文本文件，能通过记事本编辑，要解除对所有用户本地登录限制，我们只需修改这个文本文件，把拒绝登陆的相关信息删除就OK了，而在默认情况下，存放策略设置的sysvol这个文件夹在DC上是被共享的，那我们能不能用一台计算机通过网络连接到DC的sysvol共享文件夹，远程修改GptTmpl.inf文件，从而解除本地登陆限制呢，下面我们就用虚拟机来做个实验，来模拟一下这样的网络环境，看看能不能达到我们预想的效果。

通过查询资料得知：➢默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9➢默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9实验的拓扑环境如下：先部署一个域 ，用物理机做DNS，IP为192.168.11.1域中有两台计算机，Florence为DC，Berlin为加入域的一台成员服务器，Perth为一台工作站。

Windows 2003 FSO权限设置第一步是有别于Windows 2000设置的关键：右击C盘，点击“共享与安全”，在出现在对话框中选择“安全”选项卡，将Everyone、Users组删除，删除后如果你的网站连ASP程序都不能运行，请添加IIS_WPG组(图1)，并重启计算机经过这样设计后，FSO木马就已经不能运行了。

如果你要进行更安全级别的设置，请分别对各个磁盘分区进行如上设置，并为各个站点设置不同匿名访问用户。

下面以实例来介绍(假设你的主机上E盘Abc文件夹下设站点)：1.打开“计算机管理→本地用户和组→用户”，创建Abc用户，并设置密码，并将“用户下次登录时须更改密码”前的对号去掉，选中“用户不能更改密码”和“密码永不过期”，并把用户设置为隶属于Guests组。

2.右击E:\Abc，选择“属性→安全”选项卡，此时可以看到该文件夹的默认安全设置是“Everyone”完全控制(视不同情况显示的内容不完全一样)，删除Everyone的完全控制(如果不能删除，请点击[高级]按钮，将“允许父项的继承权限传播”前面的对号去掉，并删除所有)，添加 Administrators及Abc用户对本网站目录的所有安全权限。

3.打开IIS管理器，右击主机名，在弹出的菜单中选择“属性→目录安全性”选项卡，点击身份验证和访问控制的[编辑]，弹出图2所示对话框，匿名访问用户默认的就是“IUSR_机器名”，点击[浏览]，在“选择用户”对话框中找到前面创建的Abc账户，确定后重复输入密码。

经过这样设置，访问网站的用户就以Abc账户匿名身份访问E:\Abc文件夹的站点，因为Abc账户只对此文件夹有安全权限，所以他只能在本文件夹下使用FSO。

---------------------------------------------------------------------------------现在绝大多数的虚拟主机都禁用了 ASP 的标准组件：FileSystemObject，因为这个组件为 ASP 提供了强大的文件系统访问能力，可以对服务器硬盘上的任何文件进行读、写、复制、删除、改名等操作（当然，这是指在使用默认设置的 Windows NT / 2000 下才能做到）。

windows 2003文件服务器详细权限设置window server 2003文件服务器要求达到如下目标：1．网络管理员对所有共享文件夹都拥有完全控制权；2．所有员工对公共文件夹只拥有读取权限；3．每位员工只对自己的私人文件夹拥有完全控制权，且不能读取其他员工的文件夹；4．每位员工所能使用的磁盘空间有一定限制，并且已用空间达到一定程度后会得到警告。

创建用户和文件夹：根据经理提出的目标，阿昊首先为每位员工创建用户账户，并且在磁盘的NTFS分区中规划合理的文件夹结构。

私人文件夹以员工姓名命名，在域中添加用户的过程简述如下：1. 依次单击“开始/管理工具/Active Directory用户和计算机”，在打开窗口的左窗格中右击“Users”容器，执行“新建/用户”命令。

2. 在打开的“新建对象→用户”对话框中键入用户登录名（如“hongxiaowei”）和用户的全称（如“洪晓卫”）。

单击“下一步”按钮，在密码设置选项卡中设定密码并依次单击“下一步/完成”按钮。

重复此过程创建其他用户（如图1）。

图1 创建用户账户安装文件服务器：因为在默认情况下Windows Server 2003并没有安装“文件服务器”组件，因此阿昊手动将这些组件添加了进来。

1. 依次单击“开始/管理工具/管理您的服务器”，打开“管理您的服务器”窗口。

在“管理您的服务器角色”区域中单击“添加或删除角色”按钮，进入配置向导并单击“下一步”按钮。

2. 配置向导检测完网络设置后打开“服务器角色”选项卡。

在“服务器角色”列表中选中“文件服务器”选项，并单击“下一步”按钮。

3. 在打开的“文件服务器磁盘配额”选项卡中勾选“为此服务器的新用户设置默认磁盘空间配额”复选框，然后根据磁盘剩余空间及用户实际需要在“将磁盘空间限制为”和“将警告级别设置为”编辑框中键入合适的数值。

另外，勾选“拒绝将磁盘空间给超过配额限制的用户”复选框，可以禁止用户在其已用磁盘空间达到限额后向服务器写入数据。

卸载域控制器前两天朋友遇到一个问题卸载与控制器时别拒绝卸载，我的朋友很着急我几天写这篇笔记就教大家两种卸载域控制器的方法。

第一种是正常卸载，用dcpromo这条既能升域又能降域的命令。

第二种方法是强制降域这就比较麻烦了下面我们一一介绍一下这两种方法第一种降域方法：开始=》运行=》打上命名dcpromo 点击确定如图：1.2.下一步：删除Active Directory 如果这不是最后一台域控制器就不要在（这服务器是域控制器的最后一个域控制器）前打勾如图：3.下一步要求你输入一个密码注意这个密码将来是本地管理员的密码，这台机器一经卸载就不成为域控制器的身份出现了所以这个密码是本地管理员的密码！如图：4.下一步删除活动目录（Active Directory）成为成员服务器如图：5.卸载成功！这时它能够正常的找到它的复制伙伴告诉它已经不是域控制器了下次复制活动目录不要找它了。

下面我向大家介绍一个强制卸载。

这种方法是我推荐的方法域控制器能够正常复制我们最好使用第一种方法，但是在日常的工作中都是域控制器与其它服务器失去联系，活动目录不能正常复制，域控制器失去存在的意义了我们才会去卸载它，当我们卸载失去联系的域控制器，会看到一个错误提示：（无法联系到此域的其它Active Directory域控制器），这就话就是告诉我们域控制器将无法正常复制活动目录（Active Directory）。

正常的卸载在上面说过其它Active Directory域控制器能够得到这台别卸载的域控制器的消息，会告诉KCC这台服务器已经不是域控制器了下一次复制不需要在寻找着台服务器，正常卸载会自动告诉它的复制伙伴，一但强制卸载就是告诉我们已经寻找不到自己的复制伙伴，我们要手动告诉这台服务器卸载的消息。

强制卸载步骤1. 开始=》运行=》打上命名dcpromo /forceremoval下一步：强制删除（Active Directory）下一步设置一个本地管理员密码：下一步：不通知复制伙伴自行降域。

如何用组策略禁止用户安装程序及删除程序（包括系统管理员也要禁止）？运行gpedit.msc用户配置-->控制面板-->添加或删除程序-->删除"添加或删除程序",改为已启用防止用户使用“添加或删除程序”。

这个设置从“控制面板”删除“添加或删除程序”并从菜单删除“添加或删除程序”项目。

“添加或删除程序”允许用户安装、卸载、修复并添加和删除Window s 2000 Professional 的功能和组件以及种类很广的Window s 程序。

发行或分配给用户的程序出现在“添加或删除程序”中。

如果停用或不配置这个设置，所有用户都可以使用“添加或删除程序”。

处于启用状态时，这个设置的优先级高于这个文件夹中的其它设置。

这个设置不防止用户用其它工具和方法安装或卸载程序。

内置管理员帐号是不可以降级的。

只可以禁用。

组策略中没有这样的设置，可以结合楼上的说法，禁用内置管理员帐号，给用户普通用户权限【软件限制策略】即可实现。

软件限制策略更多地应用到已经安装的程序，用来阻止其运行。

你可以尝试添加这样几条条策略：文件名为*setup*.exe，阻止；文件名为"*.msi"，阻止。

这样字就可以阻止微软Windows Installer安装程序格式的安装包进行安装，但是缺点是如果是E XE可执行文件进行的安装，那么用户将Setup.exe改名即可以安装了。

软件限制策略：不允许----所有，只允许----特定。

自然就无法安装软件了。

原帖由pils于 2008-11-16 22:42 发表软件限制策略：不允许----所有，只允许----特定。

自然就无法安装软件了。

不可以的，不允许的优先级要高于允许策略。

▉▉▉▉▉▉▉▉▉▉▉▉▉ 99%运行services.msc运行services.msc，将Windows Installer设为已禁用即可。

组策略中"禁止用户安装"为什么不起作用？在我的工作中我不想让别人在我的电脑上安装其他的软件，我于是我打开"组策略"(gpedit.msc)-->"计算机配置"-->"管理模板"-->"Windows组件"-->"Windows Installer"下启用"禁止用户安装".可是计算机重起后，我试着安装软件还是能安装上，我不想通过在“管理员”设置一个受限用户来控制这种情况！请问怎样通过组策略或其他的技巧来实现，谢谢！Windows Installer 是系统的一个安装服务程序，它负责由应用程序启动的安装服务。

Windows 2003 网站安全权限设置指南随着互联网的普及和IT信息技术的快速发展，各高校所运维的网站数量和规模与日俱增。

与此同时，Windows 2003已成为比较流行的WEB服务器操作系统,安全和性能也得到了广泛的认可，基于IIS WEB服务器软件的网站数量也越来越多。

通常情况，高校的大多数服务器，会由技术力量相对雄厚的网络中心等IT资源部门运维管理。

而网站程序的制作则一般由各单位、各部门自主负责：少数用户单位将会自主开发，或者请专业的IT公司代为开发。

而更多的用户单位则会将网站的制作当作一种福利，交由勤工俭学的学生开发。

因此各网站程序的安全性参差不齐。

在这种情况下，如果不对服务器的默认安全权限进行调整，便将这些网站运行于同一台服务器上，必将引发不少令人头痛的安全问题。

最常遇到的情况是：一台Windows 2003服务器上运行着多个网站，其中某个网站存在着安全漏洞（例如没有采用参数化的SQL查询或没有对用户提交的SQL语句进行过滤），黑客便可通过攻击该网站，取得权限，上传网页木马，得到了一个WEB SHELL执行权限，或者直接利用网页木马，篡改该服务器上所有WEB站点的源文件，往源文件里加入js和iframe恶意代码。

此时那些没有安装反病毒软件的访客，浏览这些页面时便将感染上病毒，结果引来用户的严重不满和投诉，同时也严重损害了学校的形象。

为了避免类似事件的发生，我们有必要将网站和数据库分开部署，通常的作法是将网站存放于一台分配了公网IP的Windows 2003服务器，而数据库则运行于一台与互联网相隔离的私网IP数据库服务器上。

但是，仅启用以上的安全措施还是远远不够的，我们还必须调整这一台Windows2003 WEB服务器的安全权限，对权限做严格的控制，实现各网站之间权限的隔离，做法如下：在WEB服务器上，1.创建若干个系统用户，分别用作IIS6的应用程序池安全性用户和网站匿名访问帐户。

现在说第二篇:注册表修改删除不安全组件禁用无关服务.(1)服务器安全设置篇(3-1) - 入侵方法介绍端口限制磁盘权限设置(2)服务器安全设置篇(3-2) - 注册表修改删除不安全组件禁用无关服务(3)服务器安全设置篇(3-3) - 网站WEB目录权限 SQL SERVER2000设置(4)服务器安全设置篇(3-4) - 备份杀毒审计1注册表是啥东西?注册表包含Windows 在运行期间不断引用的信息，例如，每个用户的配置文件、计算机上安装的应用程序以及每个应用程序可以创建的文档类型、文件夹和应用程序图标的属性表设置、系统上存在哪些硬件以及正在使用哪些端口等等等,,在这里,也只是随便说说,改注册表,,限一些东西而已点击"开始" -- "运行" -- "regedit" -- "确定"就可以打开注册表了..(1).关闭445端口HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\netBT\Parameters新建“DWORD值”值名为“SMBDeviceEnabled” 数据为默认值“0”(0在十六进制,十进制都是一样) 如图:(以下就不做图例了,差不多的.看看也懂.)(2).禁止建立空连接HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa新建“DWORD值”值名为“RestrictAnonymous” 数据值为“1” [2003默认为1](3).禁止系统自动启动服务器共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareServer” 数据值为“0”(4).禁止系统自动启动管理共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters 新建“DWORD值”值名为“AutoShareWks” 数据值为“0”(5).通过修改注册表防止小规模DDOS攻击HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters新建“DWORD值”值名为“SynAttackProtect” 数据值为“1”2.禁止dump file我的电脑>点击右键"属性">高级>启动和故障恢复把写入调试信息改成无。

域用户安装软件权限问题描述：在一个多用户的系统中安装一个软件，使各个用户在安装完后都出现该软件的图标并能正常运行（比如联众）。

现在的问题是在我安装完后，只有我的环境中有，其他的都没有，拷贝快捷方式也不能用，不得已只能分别重新安装。

问题回答：如果程序在设计的时候允许默认安装模式是写入x:\Documents and settings\All user的profile 和\Program Files\Common Files,那么大多数程序是可以被多用户公用的。

但很多的程序并不支持这个功能，或者说程序的设计者在多用户方面考虑欠妥。

另外一方面，很多的程序并没有考虑在域中domain user权限的环境下使用，对于注册表和安装目录都需要有读写权限。

通常的情况下，都可以通过迁移安装软件的那个账户（常常是Local administrator）下的profile 来达到这个目的。

下面以domain user使用office2000的办法来说明这个问题。

问：在安装了office2000和微软vb,vc＋＋6.0的win2000电脑上，域用户第一次登陆并第一次运行office2000(例如outlook)或者vb时就会出现office2000设置，要等半天设置好之后才能运行这些程序。

如果没有等0ffice设置完而点击取消了，下次运行时还是会设置；如果耐心等office设置运行完下次就不会出现了。

有没有可以让新开的域用户第一次使用时不出现这些烦人的设置呢？答：导致这个动作的原因是这样的：每当登陆的用户发生变化，启动office后，office都会调用data1.msi重新注册用户信息。

如果在当前路径和系统路径找不到此文件，就会弹出对话框询问此文件的位置。

如果能够找到此文件，哪怕当前目录无法写入，系统也不会提示错误，正常进入，这可能是设计使然：）那么，我们一般有2中办法来解决这个问题。

一、在管理员的环境下启动office以后，copy管理员的profile。

Win2003共享及权限设置（简明）Win2003共享及权限设置（简明）一、基础系统环境的设置点开始->运行，输入gpedit.msc然后按确定。

点windows设置下面的安全设置，然后本地策略->用户权利分配，右边框中拒绝从网络访问计算机中不得有guest用户，如果有请删除。

然后回到安全选项，右边框中查找:1、网络访问：本地账户的安全和共享模式，改为经典-本地用户以自己的身份验证。

2、来宾账户状态，改为已启用。

3、使用空白密码的账户只允许控制台登陆，改为已禁用。

这样系统基础环境设置完毕。

二、添加共享用户点开始->所有程序->管理工具->计算机管理,点击系统工具下方的本地用户和组，点击用户，在右边框中下方空白处右键新用户，添加用户，用户名自己起，密码自己想，用户名和密码不能和其它用户相同，下面选项中，把用户下次登录时须更改密码前面的勾去掉，在用户不能更改密码和密码永不过期前面打勾。

（这几点很重要，有不少人错在这里，在查看共享文件夹时提示无权限拒绝访问）。

添加完成，后面如果还有其它用户的话照例添加。

组的用途就是比如A和B两用户共享文件夹的权限是完全相同的，那就可以吧A和B两用户添加到一个组里，这样在后面共享权限和安全设置里就可以添加这个组，不需要一个一个用户的添加了，当然这适用于较多有相同权限的用户，这样比较省时间。

添加方法就是新建一个组，组名自己起(比如AB)，然后点下面的添加，然后点高级，点立即查找，在下面框中找到A用户，然后双击A用户，然后再点击高级，立即查找，找到B 用户双击，这样在输入对象名称来选择下面的框中，A和B用户都在里边，然后点确定，回到新建组对话框，然后点击创建，这样这个组就添加完成了。

用户和组的添加方法就到这里，继续添加其它用户的话以此类推。

三、共享文件夹的权限划分和安全设置新建a、b、c三个文件夹（文件夹名简单，为了测试时便于记忆），1、以a文件夹为例，点右键->选共享此文件夹,共享名默认即可，点共享和安全按钮，把组和用户名称框中的所有用户和组都删掉，然后点击添加->高级->立即查找,假设a文件夹里的内容，对A用户有完全的权限(可读可写可修改可删除)，那就在下面的框中找到A用户，双击，然后按确定，这样A用户就被添加进去了，然后在下面的权限框中根据A用户的权限选择完全控制的权限。

终级Win2003服务器安全配置篇今天演示一下服务器权限的设置，实现目标是系统盘任何一个目录asp网马不可以浏览,事件查看器完全无错,所有程序正常运行.这个不同于之前做的两个演示，此演示基本上保留系统默认的那些权限组不变，保留原味,以免取消不当造成莫名其妙的错误.看过这个演示，之前的超详细web服务器权限设置,精确到每个文件夹和超详细web服务器权限设置,事件查看器完全无报错就不用再看了.这个比原来做的有所改进.操作系统用的是雨林木风的ghost镜像,补丁是打上截止11.2号最新的Power Users组是否取消无所谓具体操作看演示windows下根目录的权限设置：C:\WINDOWS\Application Compatibility Scripts 不用做任何修改，包括其下所有子目录C:\WINDOWS\AppPatch AcWebSvc.dll已经有users组权限,其它文件加上users组权限C:\WINDOWS\Connection Wizard 取消users组权限C:\WINDOWS\Debug users组的默认不改C:\WINDOWS\Debug\UserMode默认不修改有写入文件的权限,取消users组权限,给特别的权限，看演示C:\WINDOWS\Debug\WPD不取消Authenticated Users组权限可以写入文件，创建目录.C:\WINDOWS\Driver Cache取消users组权限,给i386文件夹下所有文件加上users组权限C:\WINDOWS\Help取消users组权限C:\WINDOWS\Help\iisHelp\common取消users组权限C:\WINDOWS\IIS Temporary Compressed Files默认不修改C:\WINDOWS\ime不用做任何修改，包括其下所有子目录C:\WINDOWS\inf不用做任何修改，包括其下所有子目录C:\WINDOWS\Installer 删除everyone组权限，给目录下的文件加上everyone组读取和运行的权限C:\WINDOWS\java 取消users组权限,给子目录下的所有文件加上users组权限C:\WINDOWS\MAGICSET 默认不变C:\WINDOWS\Media 默认不变C:\WINDOWS\不用做任何修改，包括其下所有子目录C:\WINDOWS\msagent 取消users组权限，给子目录下的所有文件加上users组权限C:\WINDOWS\msapps 不用做任何修改，包括其下所有子目录C:\WINDOWS\mui取消users组权限C:\WINDOWS\PCHEALTH 默认不改C:\WINDOWS\PCHEALTH\ERRORREP\QHEADLES 取消everyone组的权限C:\WINDOWS\PCHEALTH\ERRORREP\QSIGNOFF 取消everyone组的权限C:\WINDOWS\PCHealth\UploadLB 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限C:\WINDOWS\PCHealth\HelpCtr 删除everyone组的权限，其它下级目录不用管，没有user组和everyone组权限(这个不用按照演示中的搜索那些文件了，不须添加users组权限就行)C:\WINDOWS\PIF 默认不改C:\WINDOWS\PolicyBackup默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Prefetch 默认不改C:\WINDOWS\provisioning 默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\pss默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\RegisteredPackages默认不改,给子目录下的所有文件加上users组权限C:\WINDOWS\Registration\CRMLog默认不改会有写入的权限，取消users组的权限C:\WINDOWS\Registration取消everyone组权限.加NETWORK SERVICE 给子目录下的文件加everyone可读取的权限,C:\WINDOWS\repair取消users组权限C:\WINDOWS\Resources取消users组权限C:\WINDOWS\security users组的默认不改，其下Database和logs目录默认不改.取消templates目录users 组权限,给文件加上users组C:\WINDOWS\ServicePackFiles 不用做任何修改，包括其下所有子目录C:\WINDOWS\SoftwareDistribution不用做任何修改，包括其下所有子目录C:\WINDOWS\srchasst 不用做任何修改，包括其下所有子目录C:\WINDOWS\system 保持默认C:\WINDOWS\TAPI取消users组权限，其下那个tsec.ini 权限不要改C:\WINDOWS\twain_32取消users组权限，给目录下的文件加users组权限C:\WINDOWS\vnDrvBas 不用做任何修改，包括其下所有子目录C:\WINDOWS\Web取消users组权限给其下的所有文件加上users组权限C:\WINDOWS\WinSxS 取消users组权限，搜索*.tlb，*.policy，*.cat，*.manifest,*.dll，给这些文件加上everyone组和users权限给目录加NETWORK SERVICE完全控制的权限C:\WINDOWS\system32\wbem 这个目录有重要作用。

问题描述：在一个多用户的系统中安装一个软件，使各个用户在安装完后都出现该软件的图标并能正常运行（比如联众）。

现在的问题是在我安装完后，只有我的环境中有，其他的都没有，拷贝快捷方式也不能用，不得已只能分别重新安装。

问题回答：如果程序在设计的时候允许默认安装模式是写入x:\Documents and settings\All user的profile 和\Program Files\Common Files,那么大多数程序是可以被多用户公用的。

但很多的程序并不支持这个功能，或者说程序的设计者在多用户方面考虑欠妥。

另外一方面，很多的程序并没有考虑在域中domain user权限的环境下使用，对于注册表和安装目录都需要有读写权限。

通常的情况下，都可以通过迁移安装软件的那个账户（常常是Local administrator）下的profile 来达到这个目的。

下面以domain user使用office2000的办法来说明这个问题。

问：在安装了office2000和微软vb,vc＋＋6.0的win2000电脑上，域用户第一次登陆并第一次运行office2000(例如outlook)或者vb时就会出现office2000设置，要等半天设置好之后才能运行这些程序。

如果没有等0ffice设置完而点击取消了，下次运行时还是会设置；如果耐心等office设置运行完下次就不会出现了。

有没有可以让新开的域用户第一次使用时不出现这些烦人的设置呢？答：导致这个动作的原因是这样的：每当登陆的用户发生变化，启动office后，office都会调用data1.msi重新注册用户信息。

如果在当前路径和系统路径找不到此文件，就会弹出对话框询问此文件的位置。

如果能够找到此文件，哪怕当前目录无法写入，系统也不会提示错误，正常进入，这可能是设计使然：）那么，我们一般有2中办法来解决这个问题。

一、在管理员的环境下启动office以后，copy管理员的profile。

o f f i c e无法卸载和无法安装的解决办法集团标准化办公室：[VV986T-J682P28-JP266L8-68PNN]一、症状：1。

点OFFICE里面的任何一个,比如WORD就会弹出一个错误的提示筐,说的是:这个操作只对当前安装的产品有效,无法运行该命令。

系统里面的一些OFFICE文档也是无法识别的。

现在想把OFFICE2003删除,可在控制面板的"添加/删除程序"里面也找不到相应的删除项目,用优化大师删除,又说不能删除,这个与WINDOWS存在关联。

2。

在需要卸载或者更新Office 2003的时候，Window提示：“无法打开此修补程序包”，然后出错，停止卸载，尝试再安装一次，再卸载但是卸载的时候总是被错误打断！而不会出现卸载的窗口，不知道如何才能卸载。

3。

当您首次尝试安装 Microsoft Office 2000 或 Microsoft Office XP，或者运行某个 Office 程序时，可能收到一条错误信息。

如果您是通过 Administrator 用户帐户登录计算机的，可能收到下面的错误信息：Fatal error during installation如果您是通过具有管理员权限的标准用户帐户登录计算机的，可能收到下面的错误信息：This patch package could not be the application vendor to verify that this is a valid Windows Installer patch package.二、原因：如果注册表中包含来自安装的较低版本 Office 的 Microsoft Windows Installer 信息，可能会发生此问题。

注册表中包含错误的有关office的信息。

三、解决方案1.从 Microsoft 下载中心可以下载以下文件：要使用 Windows 清理实用工具，请按下列步骤操作：a. 单击“开始”，指向“程序”，然后单击“Windows 安装清理”。

office2003无法卸载的解决方法office2003安装时显示已经安装，需卸载后再安装，可是又无法卸载, 弹出对话框"windows installer无法访问你要使用的功能所在的网络位置"提示找不到Pro11.msi文件解决办法:方法1:(大众方法,成功率高)原因是注册表中包含来自安装的较低版本Office 的Microsoft Windows Installer 信息，可能会发生此问题。

注册表中包含错误的有关office的信息。

要解决此问题，请运行Windows Installer 清理实用工具：，删除Windows Installer 注册表设置，然后就可以删除office 硬盘文件，或者重新安装Office。

Windows Installer 清理实用工具（下载地址/download/e/9/d/e9d80355-7ab4-45b8-80e 8-983a48d5e1bd/msicuu2.exeWindows Installer 清理实用工具可执行下列功能：1、提供一个对话框，您可以从中选择一个或多个由Windows Installer 安装的程序2、请在“Windows Installer 清理”对话框中的“已安装的产品”列表中选择所需程序。

选择后，实用工具只删除与这些程序有关的Windows Installer 配置信息。

3、删除构成所选程序的Windows Installer 配置信息的文件和注册表设置在出现错误信息时应该怎么办？Windows Installer 清理实用工具在出现问题时会通知您。

下表列出了Windows Installer 清理实用工具可能显示的错误信息及这些错误发生的原因。

该实用工具要求与Msizap.exe版本 2 或更高版本位于同一文件夹中。

原因：无法在Msicuu.exe 所在的同一文件夹中找到Msizap.exe 版本2。

您必须具有管理员权限才能运行此实用工具。

1.限制使用应用程序(Windows 2000/XP/2003)顺次点击“组策略控制台”→“用户配置”→“管理模板”→“系统”中的“只运行许可的Windows应用程序”，双击之后启用此策略，然后点击下面的“允许的应用程序列表”中的“显示”按钮。

会弹出一个“显示内容”的对话框，在这里单击“添加”按钮，然后添加你允许运行的应用程序即可。

以后一般用户就只能运行“允许的应用程序列表”中的程序，其他程序就无法运行了！2.禁用注册表编辑器(Windows 2000/XP/2003)为了防止他人进入电脑后对注册表文件进行修改，可以在组策略中对注册表编辑器做禁止访问设置。

具体操作方法：打开“组策略控制台→用户配置→系统”中的“阻止访问注册表编辑工具”并启用此策。

此策略被启用后，用户试图启动注册表编辑器(Regedit.exe及Regedt32.exe)的时候，系统会禁止这类操作并弹出警告消息。

如何解决上面谈到的利用组策略限制应用程序运行和禁用注册表编辑器的问题。

基于具体步骤差不多，就二为一解决这两个问题。

首先，开机时按F8键进入安全模式选项，选择其中的“带命令行提示的安全模式”，进入后打开命令提示符窗口，输入“mmc”(Microsoft管理控制台)，按Enter键就打开了该程序。

接下来，点击“文件”菜单下的“添加/删除管理单元”(或直接用快捷键“Ctrl+M”)，在出现的对话框中点击“添加”按钮，选定其中的“组策略”,点击“添加”，会出现“欢迎使用组策略向导”窗口，点“下一步”直到最后单击“完成”按钮即可，关闭可添加的管理单元列表，然后在“添加/删除管理单元”对话框中点击“确定”按钮，在“控制台根节点”窗口的左侧“控制台根节点”项目中会多了一个“本地计算机”，把它给展开，接下来的操作就跟你启用“限制使用应用程序”和“禁用注册表编辑器”时一样了。

具体步骤就不多说了，大家可以参考文章开头相关内容进行操作。

注意，您只需把“只运行许可的Windows应用程序”和“阻止访问注册表编辑工具”里的“启用”改为“未配置”就行了。

禁止域用户安装软件
貌似简单的问题,其实并不简单
1.域用户默认属于本地users组,是没有软件安装权限的.可是有些软件只要你把安装路径修改一下照样能够安装.比如wareshark就可以顺利逃过这一劫.原因是users组队program files 文件夹没有写权限,换个目录自然就搞定了.但是如果希望限制域用户安装卸载软件,这个限制还是很有必要的.
2.关闭installer服务.这个方法只能限制msi格式软件包的安装,所有exe com格式的软件包它管不着.
3.锁定注册表.这招太狠了,劝君莫用.因为某些安装好的软件在运行时也要修改注册表的.但是效果不错,用不用还要慎重考虑啊
4.修改组策略
a.运行，键入"gpedit.msc"
b.窗口左侧显示“本地计算机策略”，依次展开“用户配置”——“管理模板”——“系统”项目
c.此时右侧栏目会出现配置项列表，最重要的是修改“不要运行指定的Windows程序”和“只运行指定的Windows程序”，默认“未被配置”双击可进行修改
d.如果要禁用QQ、TM、MSN等IM工具，可以启用“不要运行指定的Windows程序”，在进程列表中输入程序的进程名，如"qq.exe"、"msn.exe"等依次添加。

其它类似，可以在任务管理器中查找应用程序的进程名，添加予以限制。

e.若限制比较严格，可使用“只运行指定的Windows程序”，就可以把非法程序全毙掉了
这种方法太繁琐,修改起来也麻烦,不推荐使用.
5.运行各种专用的管理软件,不过请支持正版事业.。