Eu sei que todos nós lutamos para encontrar um equilíbrio entre manter as estações de trabalho dos nossos usuários bloqueadas, mas ainda utilizáveis. Eu tenho um problema real com um cliente cujos usuários estão constantemente instalando barras de ferramentas, jogos, malware, etc. Eu realmente quero poder retirar seus direitos administrativos locais (e o gerenciamento também). O problema é que eles dependem de um punhado de aplicativos mal escritos que exigem direitos de administrador local para serem executados corretamente. Antes que alguém sugira, não é possível se livrar desses aplicativos.
Sei que posso criar atalhos personalizados para esses aplicativos usando o comando runas e salvando as credenciais do administrador local. O problema com esta solução é:
- Tenho que fornecer manualmente as credenciais de administrador local para cada usuário.
- Alguns dos programas dependem de dados no perfil de usuário local e não funcionam corretamente se "enganados" fazendo-os pensar que estão sendo executados no perfil ComputerName\Administrator.
O que eu adoraria é instalar algum aplicativo ou aplicar uma Política de Grupo que me permita especificar aplicativos que devem ter permissão para elevar as permissões do perfil local. Existe uma solução como esta disponível?
Como todos os outros lidam com o bloqueio de estações de trabalho e ainda com suporte a software legado/mal escrito?
Responder1
É raro que um pacote de software realmente precise de direitos de administrador, mas sim está gravando em uma área do registro ou disco rígido à qual os administradores normalmente têm acesso e outros usuários não. Isso pode parecer minucioso, mas é fundamental para resolver esse problema.
Você pode usar o processomonitor editar: obrigado grawityferramentas da Microsoft para monitorar o que os aplicativos estão fazendo e atribuir direitos a essas áreas aos usuários.http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Você pode então usar Políticas de Grupo para aplicar ACLs de segurança a arquivos e pastas e partes do registro. Uma causa comum desse problema é a gravação do programa em sua pasta de instalação em c:\arquivos de programas ou em suas configurações globais no registro da máquina em HKey Local Machine.
Responder2
Você pode pegar algumas dicas úteis em outro tópico sobre esse assunto:Aplicativos legados que exigem privilégios de administrador no XP
Você poderá então definir o sistema de arquivos necessário e as permissões de registro usando um GPO.
Responder3
eu achoMonitor de Processoe MicrosoftKit de ferramentas de compatibilidade de aplicativosútil ao tentar fazer com que aplicativos herdados funcionem. Há tambémLanterna LUA, mas não tentei.
Quanto ao bloqueio, eu daria direitos de administrador local aos usuários que sabem o que estão fazendo e não vão destruir coisas "acidentalmente". (esta é apenas a minha opinião)
Responder4
Discordo veementemente de nunca conceder acesso de administrador local. Eu perderia uma quantidade colossal de tempo se empregasse essa prática. No entanto, é difícil avaliar a confiança do administrador local à medida que sua organização cresce. Considere empregar uma política de “Terra Arrasada” para conceder ao administrador local um formulário assinado para acompanhar a concessão. A referida política seria "se você quebrá-lo, estará por conta própria, passaremos alguns minutos examinando-o e depois limparemos e recarregaremos".