我的(app)方面需要什么,以遵守团体政策以及如何实施 - 如果实际可行的话?
我的想法是:
-
我定义了一组组策略字符串,每个字符串都有一个类型和默认值
-
...打开/关闭应用界面中的功能
-
管理员以某种方式在某个活动目录上实现它们
-
我检查了一些系统提供的列表/字典,用于那些GPO字符串
-
..如果他们在场,他们的 Value 观是什么
-
..然后做一堆
button.enabled = false
的东西
编辑方案:
其他消息来源说,有人应该在通常的CURRENT_USER SOFTWARE APPNAME位置创建Registry-Values(没有与策略相关的密钥!) . 然后创建ADM / ADMX模板以使用注册表项值(管理员将模板作为配置扩展加载到GPO) . 这意味着,不要特别注意Active Directory配置,因为GPO可以修改/限制对注册表值的写访问 - 并通过AD推送它们 .
编辑2:
找到了一些工具,它们将.reg文件转换为ADMX(L)GPO配置xml模板文件 . 所以说,你可以在带有APP NAME的GPO控制台中拥有一个GPO组,并且可以选择带有额外解释的可读 Headers ,并将配置设置为“未配置”,“禁用”,“已启用”值或默认值 . 每个链接到一个reg条目 . 无需与AD服务通信 .
1 回答
可以检查用户是否属于本地网络上针对LDAP服务器(DC)的活动目录组 .
使用:
System.DirectoryServices, System.Security.Principal
名称空间 .搜索那些名称空间,你会发现很多代码示例和文档 .
你的想法:
是的,IT团队将根据您将提供给他们的所需权限创建这些活动目录组("basic user","guest","power user","admin"等...) . 该职位属于系统管理员 .
你的想法:
从技术上讲,LDAP服务器将为您将传递的每个用户返回
AD groups
字符串的集合 . 你还可以检查他的凭证是否有效,你会得到真正的\ false值 .你的意见:
你是对的,最终的后果将是禁用\启用GUI上的一些功能, BUT 它是你正在使用的面向对象语言,最佳做法是编写模块化和可维护的程序,以后将很容易进行更改,而不仅仅是直接的代码,可以得到不必要的混乱和辛苦管理 .
祝你的项目好运 .