Problema:
Tenemos un sitio donde hay una combinación de máquinas con Windows 2000 y Windows XP. Actualmente, estos tienen cuentas de usuario con derechos de administrador que pueden instalar software con o sin licencia. Queremos restringir tales actividades para que,
- Los usuarios pueden instalar/desinstalar una lista de software preaprobado.
- Los usuarios tienen acceso ilimitado a todos los demás recursos del sistema (todos los derechos de administrador, excepto la instalación del software).
Estoy buscando una manera de lograr esto utilizando cualquier herramienta de MS o de terceros. Todas las sugerencias son bienvenidas.
Editar:Ante estos desafíos, ¿cuáles serían las recomendaciones?
Respuesta1
Si realmente NECESITA hacer esto (...), querrá investigar sobre las Políticas de restricción de software de Windows:http://technet.microsoft.com/en-us/library/bb457006.aspx
[empieza a despotricar]
Sin embargo, a decir verdad, parece MUCHO trabajo para algo que, en mi opinión, parece ser particularmente fácil de eludir, ya que los usuarios al final (como usted señaló) tendránacceso no restingido.
[fin de la diatriba]
De todos modos, aquí hay información de ese enlace:
Políticas de restricción de softwareson parte de la estrategia de administración y seguridad de Microsoft para ayudar a las empresas a aumentar la confiabilidad, integridad y capacidad de administración de sus computadoras. Las políticas de restricción de software son una de las muchas características de administración nuevas en Windows XP y Windows Server 2003.
Este artículo proporciona una mirada en profundidad a cómo se pueden utilizar las políticas de restricción de software para:
- Luchar contra los virus
- Regular qué controles ActiveX se pueden descargar
- Ejecute solo scripts firmados digitalmente
- Hacer cumplir que solo se instale software aprobado en las computadoras del sistema
- Bloquear una máquina
Respuesta2
Los usuarios pueden instalar/desinstalar una lista de software preaprobado.
Creo que Windows tiene "Políticas de restricción de software" o algo así, en Políticas de grupo.
Los usuarios tienen acceso ilimitado a todos los demás recursos del sistema (todos los derechos de administrador, excepto la instalación del software).
Eso está a sólo 10 minutos de poder instalar cualquier software. (De hecho, para una gran parte de todo el software disponible, no necesita instalar nada; simplemente descomprímalo y haga doble clic en el archivo .exe)
Intentar restringir a un administrador es una muy mala idea.
Respuesta3
UsarSRP. Utilice la opción de hashtags para permitir que solo el software que desea que puedan instalar y ejecutar. También consideraría eliminarlos de los administradores y, en su lugar, poner las cuentas en usuarios avanzados. En el caso de las personas que no quieren ser excluidas del grupo de administración, tendría especial cuidado en cuanto a lo que se les permite ejecutar.