Quyền admin để cài đặt phần mềm trong máy đã join

 Mấy anh cho em hỏi, khi một máy tính được quản lí trên domain khi cài đặt một ứng dụng nào đó thì phải có quyền Admin để cài đặt, nhưng em thấy vẫn có một số ứng dụng mà user client vẫn tự cài đặt được mà không cần quyền Admin thí dụ như Zalo, WPS,…Lý do tại sao các ứng dụng đó lại cài đặt được. Em cảm ơn.

https://www.facebook.com/photo?fbid=1467798861250607&set=gm.1244943573868619&idorvanity=264481235248196

Chào bạn, câu hỏi của bạn rất hay và thực tế trong môi trường doanh nghiệp có quản lý domain. Việc một số ứng dụng như Zalo, WPS Office… có thể được cài đặt bởi user không có quyền admin là do cách thiết kế gói cài đặt và cách ứng dụng hoạt động sau khi cài. Cụ thể: --- 1. Ứng dụng được cài đặt theo kiểu "per-user" Thay vì cài vào Program Files (yêu cầu quyền admin), ứng dụng sẽ cài vào thư mục người dùng, thường là: C:\Users\<username>\AppData\Local\ Các ứng dụng như Zalo, WPS, Zoom, Slack… thường dùng kiểu này. Việc cài theo kiểu này không cần quyền admin vì user có toàn quyền trên thư mục AppData của họ. --- 2. Ứng dụng không ghi vào các vùng hệ thống Ứng dụng không chỉnh sửa registry hệ thống, không cài service chạy nền ở chế độ hệ thống, nên không cần đặc quyền để viết vào các vùng nhạy cảm. Một số ứng dụng dùng cơ chế portable hoặc chỉ lưu cấu hình ở cấp người dùng. --- 3. Thiết kế installer kiểu "user mode" Một số installer sẽ phát hiện user không có quyền admin và tự động chuyển sang chế độ cài đặt cho user hiện tại. Ví dụ: WPS có thể hỏi bạn có muốn cài cho user hay toàn hệ thống, nếu chọn user thì không cần quyền admin. --- 4. Một số ứng dụng dùng định dạng cài đặt đặc biệt Ví dụ: AppX, MSIX, hoặc ClickOnce được Windows hỗ trợ cho phép cài đặt nhanh vào môi trường người dùng mà không cần quyền admin. --- 5. Quản trị viên chưa cấu hình chính sách chặt chẽ Nếu chưa cấu hình Group Policy, AppLocker hoặc các cơ chế bảo mật khác, người dùng vẫn có thể cài các ứng dụng không yêu cầu quyền admin. --- Làm sao để kiểm soát? Nếu bạn là quản trị viên và muốn kiểm soát chặt: Cấu hình AppLocker hoặc Software Restriction Policy để chỉ cho phép chạy/cài ứng dụng được phê duyệt. Cấu hình UAC, GPO để chặn quyền cài đặt hoặc giới hạn AppData execution. Dùng phần mềm quản lý endpoint như Microsoft Intune, Symantec, FortiClient EMS... --- Nguồn: Chatgpt

Nhưng wps, zalo muốn gỡ thì phải có quyền admin nha ae vì nó cài trong profile user App đó cài vào thư mục user/appdata, ko phải cài vào program file nên không cần quyền admin cũng cài được

Các ứng dụng dạng này chỉ cài đặt vào thư mục người dùng, ko cài đặt vào file hệ thống. 1 số app như Zoom hay Slack thì có tính năng Per-user Installer, khi cài đặt sẽ kiểm tra xem có quyền administrator, nếu ko có thì sẽ chuyern sang per-user và gán registry vào HLCU chứ ko vào HKLM. Đồng thời ko cài các Windows Service, không thay đổi driver

Cài trên appdata user thì ko có cần bạn

Tất cả cảm xúc:

103103