ユーザーのワークステーションをロックダウンしたまま、使用可能にしておくというバランスを取るのに、私たち全員が苦労していることはわかっています。ユーザーがツールバー、ゲーム、マルウェアなどを頻繁にインストールするクライアントが 1 社あり、本当に困っています。私は、彼らのローカル管理者権限を剥奪したいです (管理者も同様です)。問題は、彼らが、適切に動作するためにローカル管理者権限を必要とする、いくつかの質の低いアプリケーションに依存していることです。誰かが提案する前に言っておきますが、これらのアプリケーションを取り除くことはできません。
runas コマンドを使用してローカル管理者の資格情報を保存することで、これらのアプリケーションへのカスタム ショートカットを作成できることがわかりました。このソリューションの問題は次のとおりです。
- 各ユーザーのローカル管理者の資格情報を手動で入力する必要があります。
- 一部のプログラムはローカル ユーザー プロファイルのデータに依存しており、ComputerName\Administrator プロファイルで実行されていると「思い込まされる」と、正常に機能しません。
私が望んでいるのは、何らかのアプリケーションをインストールするか、ローカル プロファイルの権限を昇格できるアプリケーションを指定できるグループ ポリシーを適用することです。このようなソリューションはありますか?
他の人たちはどのようにワークステーションをロックダウンしながら、レガシーソフトウェアや質の悪いソフトウェアをサポートしているのでしょうか?
答え1
ソフトウェア パッケージが実際に管理者権限を必要とすることはまれですが、通常は管理者がアクセスでき、他のユーザーがアクセスできないレジストリまたはハード ディスクの領域に書き込みを行う必要があります。これは些細なことにこだわっているように聞こえるかもしれませんが、この問題を解決するにはこれが基本です。
このプロセスを使うとモニター 編集: ありがとう、grawityアプリケーションの動作を監視し、その領域に対する権限をユーザーに割り当てます。Microsoft のツールです。http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
次に、グループ ポリシーを使用して、ファイルとフォルダーの両方とレジストリの一部にセキュリティ ACL を適用できます。この問題の一般的な原因は、プログラムが c:\program files 内のインストール フォルダー、または HKey Local Machine の下のコンピューター レジストリ上のグローバル設定のいずれかに書き込むことです。
答え2
このテーマに関する他のスレッドから役立つヒントをいくつか得られるかもしれません:XP で管理者権限を必要とするレガシー アプリ
その後、GPO を使用して必要なファイル システムとレジストリのアクセス許可を設定できるようになります。
答え3
私は見つけたプロセスモニターおよびマイクロソフトアプリケーション互換性ツールキット旧式のアプリケーションを動作させようとするときに便利です。LUA バグライトですが、試したことはありません。
ロックダウンに関しては、自分が何をしているのかわかっていて、「誤って」何かを破壊しないユーザーにはローカル管理者権限を与えると思います。(これは私の意見にすぎません)
答え4
ローカル管理者アクセスを決して与えないという考えには、私はまったく賛成できません。その方法を採用すると、膨大な時間を無駄にすることになります。しかし、組織が大きくなるほど、ローカル管理者に対する信頼度を測定するのは難しくなります。ローカル管理者を付与する際には、署名済みのフォームを添付して「焦土作戦」ポリシーを採用することを検討してください。そのポリシーは、「それを破ったら、自分で対処してください。数分かけて確認した後、ワイプしてリロードします」というものです。