嘿，针对你在本地非域电脑上的权限需求，我来给你梳理下可行的方案：

首先明确一点：本地组策略（LGPO）没有直接的设置能实现「仅允许指定标准用户在管理员账户下安装软件」，但我们可以通过组合几种系统自带的机制来达成类似效果。

一、先理清核心需求 #

从你的描述来看，应该是想让标准用户User B可以获得安装软件的权限（不管是用自己账号还是借助Admin A的权限），而User General完全无法安装软件，同时全程不加入域环境对吧？如果是这样，下面的方案都适用：

二、可行的替代方案 #

1. 利用用户权限分配限制UAC提升（最推荐） #

这个方法能精准控制谁可以通过UAC提升到管理员权限，从而安装软件：

• 按下Win + R输入gpedit.msc打开本地组策略编辑器
• 导航到：计算机配置 > Windows 设置 > 安全设置 > 本地策略 > 用户权限分配
• 找到**「允许通过身份验证的用户提升权限」**这个项，默认所有用户都有这个权限
• 删除列表里的所有用户/组，只添加你的Admin A和User B账户
• 接着去计算机配置 > 管理模板 > Windows组件 > 用户账户控制，启用**「用户账户控制：标准用户的提升提示行为」**，设置为「提示输入管理员凭据」

这样设置后，User B需要安装软件时，输入Admin A的密码就能完成权限提升；而User General哪怕知道Admin密码，也因为没有权限分配，无法触发UAC提升，自然装不了需要管理员权限的软件。

2. 借助Power Users组（适合旧版Windows，Win10/11有限兼容） #

Power Users组是系统自带的一个权限介于管理员和标准用户之间的组，成员可以安装部分不需要高权限的桌面程序：

• 按下Win + R输入lusrmgr.msc打开本地用户和组
• 展开「组」找到「Power Users」，右键选择「属性 > 成员 > 添加」
• 输入User B的账户名，确认后添加即可

注意：Win10和Win11里Power Users的权限被大幅削弱，很多现代软件还是需要管理员权限才能安装，这个方案更适合旧程序居多的场景。

3. 用Windows Installer组策略+例外控制 #

如果你主要想限制MSI安装包的权限，可以这么做：

• 打开gpedit.msc，导航到用户配置 > 管理模板 > Windows组件 > Windows Installer
• 启用**「禁止用户安装」**，这样所有标准用户默认无法用Windows Installer装软件
• （仅专业版/企业版支持）接着启用**「允许用户安装」**，通过「项级别目标」功能，把这个设置仅应用给User B；或者创建一个本地组（比如AllowedInstallers），把User B加进去，然后在组策略里指定这个组

4. 精细控制NTFS和注册表权限 #

这个方法适合对权限粒度要求极高的场景，通过限制系统关键位置的修改权限来控制安装：

• 右键C:\Program Files、C:\Program Files (x86)、C:\Windows\Temp这些安装常用目录，选择「属性 > 安全 > 编辑」，给User General只开「读取和执行」权限，给User B开「修改」权限
• 打开注册表编辑器regedit.exe，导航到HKEY_LOCAL_MACHINE\SOFTWARE、HKEY_LOCAL_MACHINE\SYSTEM，右键设置权限，同样给User General只读，User B可修改

注意：这个方法无法阻止需要UAC提升的安装程序，必须配合前面的UAC权限分配方案一起用才有效。

三、总结 #

本地组策略没有直接的一键设置，但通过组合「用户权限分配」「UAC配置」「组策略模板」这些工具，完全能实现你要的权限控制。其中最推荐的是第一种方案，既能精准控制权限，又不用修改太多系统目录的权限，安全性更高。

备注：内容来源于stack exchange，提问作者nikhil