Ich weiß, dass wir alle Schwierigkeiten haben, die Balance zwischen der Sperrung der Arbeitsstationen unserer Benutzer und deren Nutzbarkeit zu finden. Ich habe ein echtes Problem mit einem Client, dessen Benutzer ständig Symbolleisten, Spiele, Malware usw. installieren. Ich möchte ihnen unbedingt die lokalen Administratorrechte entziehen können (und das Management auch). Das Problem besteht darin, dass sie auf eine Handvoll schlecht geschriebener Anwendungen angewiesen sind, die lokale Administratorrechte erfordern, um ordnungsgemäß ausgeführt zu werden. Bevor es jemand vorschlägt: Es ist nicht möglich, diese Anwendungen loszuwerden.
Mir ist klar, dass ich mit dem Befehl runas benutzerdefinierte Verknüpfungen zu diesen Anwendungen erstellen und die lokalen Administratoranmeldeinformationen speichern kann. Das Problem bei dieser Lösung ist:
- Ich muss die lokalen Administratoranmeldeinformationen für jeden Benutzer manuell eingeben.
- Einige der Programme sind auf Daten im lokalen Benutzerprofil angewiesen und funktionieren nicht richtig, wenn ihnen vorgegaukelt wird, sie würden unter dem Profil „ComputerName\Administrator“ ausgeführt.
Ich würde gerne eine Anwendung installieren oder eine Gruppenrichtlinie anwenden, mit der ich Anwendungen angeben kann, die die Berechtigungen des lokalen Profils erhöhen dürfen. Gibt es eine solche Lösung?
Wie gehen alle anderen damit um, Arbeitsstationen zu sperren und dennoch veraltete/schlecht geschriebene Software zu unterstützen?
Antwort1
Es kommt selten vor, dass ein Softwarepaket tatsächlich Administratorrechte benötigt. Vielmehr schreibt es in einen Bereich der Registrierung oder Festplatte, auf den normalerweise Administratoren Zugriff haben, andere Benutzer jedoch nicht. Das klingt vielleicht kleinlich, ist aber grundlegend, um dieses Problem zu lösen.
Sie können den Prozess verwendenMonitor bearbeiten: danke, GrawityTools von Microsoft, um die Aktivitäten der Anwendungen zu überwachen und den Benutzern Rechte für diese Bereiche zuzuweisen.http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Sie können dann Gruppenrichtlinien verwenden, um Sicherheits-ACLs sowohl auf Dateien und Ordner als auch auf Teile der Registrierung anzuwenden. Eine häufige Ursache für dieses Problem ist, dass das Programm entweder in seinen Installationsordner unter c:\Programme schreibt oder seine globalen Einstellungen in der Computerregistrierung unter HKey „Lokaler Computer“.
Antwort2
Vielleicht können Sie dem anderen Thread zu diesem Thema einige nützliche Tipps entnehmen:Ältere Apps, die unter XP Administratorrechte erfordern
Anschließend sollten Sie in der Lage sein, die erforderlichen Dateisystem- und Registrierungsberechtigungen mithilfe einer Gruppenrichtlinie festzulegen.
Antwort3
ich findeProzessmonitorund MicrosoftToolkit zur Anwendungskompatibilitätnützlich, wenn man versucht, alte Anwendungen zum Laufen zu bringen . Es gibt auchLUA Buglight, aber ich habe es nicht ausprobiert.
Was die Sperrung betrifft, würde ich den Benutzern lokale Administratorrechte erteilen, die wissen, was sie tun, und nicht „aus Versehen“ Dinge zerstören. (das ist nur meine Meinung)
Antwort4
Ich bin absolut dagegen, lokalen Administratoren niemals Zugriff zu gewähren. Ich würde enorm viel Zeit verschwenden, wenn ich diese Vorgehensweise anwenden würde. Allerdings ist es schwieriger, das Vertrauen in lokale Administratoren einzuschätzen, je größer Ihre Organisation wird. Erwägen Sie die Anwendung einer „Scorched Earth“-Richtlinie für die Gewährung lokaler Administratorrechte mit einem unterschriebenen Formular, das der Gewährung beigefügt ist. Diese Richtlinie wäre: „Wenn Sie es kaputt machen, sind Sie auf sich allein gestellt. Wir werden uns ein paar Minuten Zeit nehmen, um es uns anzusehen, und dann wird alles gelöscht und neu geladen.“