大型公司如何为没有管理权限的用户处理软件更新？

我刚刚开始为一家中小型公司提供IT支持。也许不超过150个用户。

现在，每个用户都拥有自己计算机的管理权限。这样，他们就可以安装更新或其他任何想要的东西。

我已经厌倦了使用用户计算机的麻烦，因为他们的计算机上充斥着他们自己的垃圾。因此，我首先想到的是取消对他们计算机的管理权限。这也将具有其他优势，例如，可以防止网络上的大量偷渡式恶意软件等。

出现用户无法安装更新的问题。（尽管我发现大多数人还是会忽略这些）

大型公司如何处理所有客户端计算机上的软件更新？

编辑：Windows环境。大多数服务器是Windows Server 2003 Enterprise。客户端都是Windows。赢得XP，Vista和7。

Windows Server Update Services（WSUS）提供了服务器端组件来处理更新部署。由Microsoft提供，它是Windows Server 2003及更高版本的免费附件。

通常将计算机（客户端PC，服务器等）定向到WSUS服务器，以通过组策略设置接收更新（也可以通过简单的注册表操作来完成）。Windows Update客户端软件是可配置的，以允许客户端按计划自动下载和安装更新，或下载并提示安装等。客户端软件可以强制PC重新启动，或者如果用户仍在，则可以选择延迟重新启动已登录。有多种选择。

对于第三方软件，您可以使用Sysmtem Center Updates Publisher作为Microsoft System Center Configuration Manager产品的一部分来创建要通过WSUS分发的更新。（还有一些其他工具也可以使您将非Microsoft更新发布到WSUS －我没有使用它们的经验，因此无法推荐/评论它们。在对此Server Fault的评论中有一些关于它们的讨论。回答。）

我通常通过组策略将软件安装到客户端计算机，因此部署更新通常涉及以这种方式滚动新程序包。您可以在“ 服务器故障”答案中查看有关该策略的更多信息。

顺便说一句：您做的是正确的事情：取消用户的管理员权限。您将看到PC可靠性的显着提高，并且间接会提高安全性。与具有受限制的管理员权限的客户端计算机建立网络是一个很好的地方。至少，恶意软件将被限制为破坏单个用户的配置文件，这使得清理就像从备份还原感染前漫游配置文件的副本一样容易。

WSUS看起来非常适合您。

最重要的是，如果您在环境中运行Windows Server，那么它是免费的！