Пользователи понаставили себе программ в профиль (Yandex Browser, CapCut). Стоит вопрос их удаления. Испробованы следующие методы:
1. Создание скрипта, который запускается при логине пользователя в систему, и распространение этого скрипта политикой GPO на компы с установленными программами. Идея была в том, чтобы собрать компьютеры в отдельную группу, в политике назначить логон скрипт пользователя. Политика назначалась на юнит, где содержатся все компы, но в фильтре безопасности указывалась только группа с необходимыми компами. После того, как это не сработало, один тестовый компьютер был перенесен в отдельный юнит, на который была назначена политика без всяких фильтров (в фильтре безопасности стоит "прошедшие проверку").
2. Создание задачи в планировщике заданий, чтобы исполнялась команда при логине пользователя на компе. После распространения задачи на компы, она запускается от имени компьютера, а не пользователя.
3. Отчаянная попытка удаления программы через PSSession, что, логично, не сработало, ибо все процессы запускаются от имени администратора, подключившегося через сессию.
4. Удаление через Get-Package | Uninstall-Package, но программа не отображается в установленных.
Что еще можно попробовать? Доходит до бредовых мыслей в виде перехвата сеанса залогиненного пользователя в PowerShell (не знаю, возможно ли это, а если и возможно, не удалось нагуглить, как это сделать).
если вы администратор - можно обойти скриптом все пользовательские профили на компах и грохнуть левый софт...Далее с помощью GPO, SRP, AppLocker, тех же скриптов в планировщике запретить/контролировать установку ПО, которое не разрешено
Роман Безруков, можно поподробнее, каким образом обойти скриптом профили и удалить софт? Имеется ввиду просто удаление папки с софтом? Ну допустим папку удалю, ключи реестра почищу, чтобы в Касперском не отображалась программа, и все равно где-то следы останутся. Идея видится именно из-под пользователя запустить строку деинсталляции.
Sjoho_hoy, а то ж деинсталляторы прям всё подчищают за собой, ага... Нет, я понимаю, что хочется "красиво", но это не тот случай, когда это "красиво" стоит усилий. Это ассенизационные работы, тут не до "красиво"
Нужно не "попробовать", а использовать административные методы.
Во-первых, следует создать документ с названием типа "Правила использования компьютерной техники", где описано, что можно и что не можно, включая и проверки соблюдения документа и санкции за нарушение, утвердить его у руководства и ознакомить всех пользователей под подпись. И не реже чем раз в год его пересматривать, с учётом выявляемых реалий.
Во-вторых, реально проводить контроль - как удалённо-программный (который сделать регулярным), так непосредственный. А по факту обнаружения нарушений - применять санкции без оглядки на должности, знакомства и хорошее отношение, и с широким оповещением. Говорят, лишение премии очень помогает в налаживании дисциплины, даже когда лишили не тебя, а коллегу.
Если руководство правильно относится к вопросам безопасности и дисциплины, то всякий подобного рода софт, левые фотографии и музыка и прочая посторонняя хрень испарятся в рабочих станций очень быстро и навсегда.
О, это классическая боль админов — пользовательские app'ы, прячущиеся в %LOCALAPPDATA% и запускающиеся при логоне
Можно добавить ключ в HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce, который выполнит скрипт от имени пользователя при следующем входе в систему:
