Problema:
Temos um site onde há uma mistura de máquinas com Windows 2000 e Windows XP. Atualmente, eles possuem contas de usuário com direitos de administrador que podem instalar software licenciado/não licenciado. Queremos restringir tais atividades para que,
- Os usuários podem instalar/desinstalar uma lista pré-aprovada de software.
- Os usuários recebem acesso irrestrito a todos os outros recursos do sistema (todos os direitos de administrador, exceto a instalação do software).
Estou procurando uma maneira de conseguir isso usando qualquer ferramenta MS ou de terceiros. Todas as sugestões são bem-vindas.
Editar:Dados estes desafios, quais seriam as recomendações?
Responder1
Se você realmente PRECISA fazer isso (...), você gostaria de pesquisar sobre as Políticas de Restrição de Software do Windows:http://technet.microsoft.com/en-us/library/bb457006.aspx
[começar a reclamar]
Para dizer a verdade, parece MUITO trabalhoso para algo que a IMO parece ser particularmente fácil de contornar, já que os usuários terão no final (como você apontou)acesso irrestrito.
[fim do discurso]
De qualquer forma, aqui estão algumas informações desse link:
Políticas de restrição de softwarefazem parte da estratégia de segurança e gerenciamento da Microsoft para ajudar as empresas a aumentar a confiabilidade, a integridade e a capacidade de gerenciamento de seus computadores. As políticas de restrição de software são um dos muitos novos recursos de gerenciamento do Windows XP e do Windows Server 2003.
Este artigo fornece uma visão aprofundada de como as políticas de restrição de software podem ser usadas para:
- Combater vírus
- Regular quais controles ActiveX podem ser baixados
- Execute apenas scripts assinados digitalmente
- Imponha que apenas software aprovado seja instalado nos computadores do sistema
- Bloquear uma máquina
Responder2
Os usuários podem instalar/desinstalar uma lista pré-aprovada de software.
Acho que o Windows tem "Políticas de Restrição de Software" ou algo assim, em Políticas de Grupo.
Os usuários recebem acesso irrestrito a todos os outros recursos do sistema (todos os direitos de administrador, exceto a instalação do software).
Faltam apenas 10 minutos para você poder instalar qualquer software. (Na verdade, para grande parte de todos os softwares disponíveis, você não precisa instalar nada - basta descompactar e clicar duas vezes no .exe)
Tentar restringir um administrador é uma péssima ideia.
Responder3
UsarPRS. Use a opção de hashtags para permitir que apenas o software que você deseja instale e execute. Eu também consideraria retirá-los dos administradores e colocar as contas em usuários avançados. Para as pessoas que não querem ser excluídas do grupo de administração, eu teria um cuidado especial com o que elas podem executar.