저는 우리 모두가 사용자의 워크스테이션을 잠긴 상태로 유지하면서도 여전히 사용할 수 있도록 하는 것 사이에서 균형을 유지하기 위해 노력하고 있다는 것을 알고 있습니다. 사용자가 툴바, 게임, 맬웨어 등을 지속적으로 설치하는 한 클라이언트에 실제 문제가 있습니다. 저는 정말로 그들의 로컬 관리 권한을 빼앗을 수 있기를 원합니다(관리도 마찬가지입니다). 문제는 제대로 실행하려면 로컬 관리자 권한이 필요한 소수의 잘못 작성된 응용 프로그램에 의존한다는 것입니다. 누군가가 제안하기 전에는 이러한 응용 프로그램을 제거하는 것이 불가능합니다.
runas 명령을 사용하고 로컬 관리자 자격 증명을 저장하여 이러한 응용 프로그램에 대한 사용자 지정 바로 가기를 만들 수 있다는 것을 알고 있습니다. 이 솔루션의 문제점은 다음과 같습니다.
- 각 사용자에 대한 로컬 관리자 자격 증명을 수동으로 제공해야 합니다.
- 일부 프로그램은 로컬 사용자 프로필의 데이터에 의존하므로 ComputerName\Administrator 프로필에서 실행되고 있다고 생각하도록 "속일" 경우 제대로 작동하지 않습니다.
내가 원하는 것은 일부 응용 프로그램을 설치하거나 로컬 프로필의 권한을 높이기 위해 허용되어야 하는 응용 프로그램을 지정할 수 있는 그룹 정책을 적용하는 것입니다. 이와 같은 솔루션이 있습니까?
다른 사람들은 워크스테이션을 잠그고 레거시/잘못 작성된 소프트웨어를 계속 지원하는 방법을 어떻게 처리합니까?
답변1
소프트웨어 패키지에 실제로 관리자 권한이 필요한 경우는 드물지만 일반적으로 관리자는 액세스할 수 있고 다른 사용자는 액세스할 수 없는 레지스트리나 하드 디스크 영역에 쓰기 작업을 수행합니다. 그것은 잔소리처럼 들릴 수도 있지만 이 문제를 해결하는 데 있어 기본입니다.
과정을 이용하시면 됩니다감시 장치 편집: 감사합니다.응용 프로그램이 수행하는 작업을 모니터링하고 해당 영역에 대한 권한을 사용자에게 할당하는 Microsoft 도구입니다.http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
그런 다음 그룹 정책을 사용하여 파일, 폴더 및 레지스트리 부분 모두에 보안 ACL을 적용할 수 있습니다. 이 문제의 일반적인 원인은 프로그램이 c:\program 파일의 설치 폴더 또는 HKey 로컬 컴퓨터 아래 컴퓨터 레지스트리의 전역 설정에 쓰기 때문입니다.
답변2
이 주제에 대한 다른 스레드에서 몇 가지 유용한 팁을 얻을 수 있습니다.XP에서 관리자 권한이 필요한 레거시 앱
그러면 GPO를 사용하여 필요한 파일 시스템 및 레지스트리 권한을 설정할 수 있습니다.
답변3
내가 찾은프로세스 모니터그리고 마이크로소프트애플리케이션 호환성 툴킷멍청한 레거시 애플리케이션을 작동 시키려고 할 때 유용합니다 . 또한 있습니다LUA 버그라이트, 하지만 시도하지 않았습니다.
잠금에 관해서는 자신이 무엇을 하고 있는지 알고 있고 "우연히" 물건을 파괴하지 않을 사용자에게 로컬 관리자 권한을 부여할 것입니다. (이것은 단지 내 의견일 뿐이다)
답변4
나는 로컬 관리자 액세스 권한을 부여하지 않는 것에 매우 동의하지 않습니다. 만약 내가 그런 방법을 사용한다면 엄청난 시간을 낭비하게 될 것입니다. 그러나 조직이 커질수록 로컬 관리자에 대한 신뢰를 측정하기는 어렵습니다. 로컬 관리자에게 승인과 함께 서명된 양식을 부여하기 위해 "Scorched Earth" 정책을 채택하는 것을 고려하십시오. 정책은 "만약 당신이 그것을 깨뜨린다면 우리는 그것을 몇 분 동안 살펴본 후 지우고 다시 로드할 것입니다."라는 것입니다.