문제:
Windows 2000과 Windows XP 시스템이 혼합되어 있는 사이트가 있습니다. 이들은 현재 라이센스가 있거나 라이센스가 없는 소프트웨어를 설치할 수 있는 관리자 권한이 있는 사용자 계정을 가지고 있습니다. 우리는 그러한 활동을 제한하고 싶습니다.
- 사용자는 사전 승인된 소프트웨어 목록을 설치/제거할 수 있습니다.
- 사용자에게는 다른 모든 시스템 리소스에 대한 무제한 액세스 권한이 부여됩니다(소프트웨어 설치를 제외한 모든 관리자 권한).
MS나 타사 도구를 사용하여 이를 달성할 수 있는 방법을 찾고 있습니다. 모든 제안을 환영합니다.
편집하다:이러한 과제를 고려할 때 권장 사항은 무엇입니까?
답변1
정말로 이 작업을 수행해야 한다면(...) Window의 소프트웨어 제한 정책에 대해 조사해 보시기 바랍니다.http://technet.microsoft.com/en-us/library/bb457006.aspx
[폭언 시작]
하지만 진실을 말하자면, IMO가 특히 우회하기 쉬운 것 같은 작업을 수행하는 데는 많은 작업이 필요한 것처럼 보입니다. 사용자가 결국에는 (지시한 대로)무제한 액세스.
[폭언 끝]
어쨌든 해당 링크의 정보는 다음과 같습니다.
소프트웨어 제한 정책기업이 컴퓨터의 안정성, 무결성 및 관리 효율성을 높일 수 있도록 지원하는 Microsoft의 보안 및 관리 전략의 일부입니다. 소프트웨어 제한 정책은 Windows XP 및 Windows Server 2003의 많은 새로운 관리 기능 중 하나입니다.
이 문서에서는 소프트웨어 제한 정책을 사용하여 다음을 수행하는 방법을 심층적으로 살펴봅니다.
- 바이러스 퇴치
- 다운로드할 수 있는 ActiveX 컨트롤을 규제합니다.
- 디지털 서명된 스크립트만 실행
- 승인된 소프트웨어만 시스템 컴퓨터에 설치되도록 시행
- 기계 잠금
답변2
사용자는 사전 승인된 소프트웨어 목록을 설치/제거할 수 있습니다.
Windows의 그룹 정책에 "소프트웨어 제한 정책" 같은 것이 있는 것 같습니다.
사용자에게는 다른 모든 시스템 리소스에 대한 무제한 액세스 권한이 부여됩니다(소프트웨어 설치를 제외한 모든 관리자 권한).
단 10분이면 모든 소프트웨어를 설치할 수 있습니다. (실제로 사용 가능한 모든 소프트웨어의 대부분은 아무것도 설치할 필요가 없습니다. 압축을 풀고 .exe를 두 번 클릭하기만 하면 됩니다.)
관리자를 제한하려는 것은 매우 나쁜 생각입니다.
답변3
사용SRP. 원하는 소프트웨어만 설치하고 실행할 수 있도록 허용하려면 해시태그 옵션을 사용하세요. 또한 관리자에서 해당 계정을 삭제하고 내부적으로 고급 사용자에게 계정을 넣는 것을 고려할 것입니다. 관리자 그룹에서 탈퇴하고 싶지 않은 사람들의 경우 실행이 허용되는 항목에 대해 특히 주의해야 합니다.