Я знаю, что мы все боремся за то, чтобы найти баланс между тем, чтобы рабочие станции наших пользователей были заблокированы, но при этом оставались пригодными для использования. У меня есть реальная проблема с одним клиентом, пользователи которого постоянно устанавливают панели инструментов, игры, вредоносное ПО и т. д. Я действительно хочу иметь возможность лишить их локальных прав администратора (и руководство тоже). Проблема в том, что они полагаются на несколько плохо написанных приложений, которым для корректной работы требуются права локального администратора. Прежде чем кто-либо это предложит, от этих приложений невозможно избавиться.
Я понимаю, что могу создать пользовательские ярлыки для этих приложений, используя команду runas и сохраняя учетные данные локального администратора. Проблема с этим решением заключается в следующем:
- Мне приходится вручную вводить учетные данные локального администратора для каждого пользователя.
- Некоторые программы полагаются на данные в локальном профиле пользователя и не работают должным образом, если их «обмануть» и заставить думать, что они работают под профилем ComputerName\Administrator.
Мне бы хотелось установить какое-нибудь приложение или применить групповую политику, которая позволит мне указать приложения, которым будет разрешено повышать разрешения локального профиля. Есть ли такое решение?
Как все остальные справляются с блокировкой рабочих станций и при этом продолжают поддерживать устаревшее/плохо написанное программное обеспечение?
решение1
Редко бывает так, что программному пакету действительно нужны права администратора, но скорее он пишет в область реестра или жесткого диска, к которой администраторы обычно имеют доступ, а другие пользователи — нет. Это может звучать как придирка, но это фундаментально для решения этой проблемы.
Вы можете использовать процессмонитор правка: спасибо, grawityинструменты от Microsoft для мониторинга действий приложений и предоставления пользователям прав на эти области.http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Затем вы можете использовать групповые политики для применения списков контроля доступа к файлам и папкам, а также к частям реестра. Распространенной причиной этой проблемы является запись программы в/или в папку установки в c:\program files, или ее глобальные настройки в реестре машины в разделе HKey Local Machine.
решение2
Вы можете почерпнуть несколько полезных советов из другой ветки обсуждения на эту тему:Устаревшие приложения, требующие прав администратора на XP
После этого вы сможете установить необходимые разрешения для файловой системы и реестра с помощью объекта групповой политики.
решение3
я нахожуМонитор процессаи МайкрософтНабор инструментов для обеспечения совместимости приложенийполезно при попытке заставить работать устаревшие приложения stup . Также естьLUA Buglight, но я не пробовал.
Что касается блокировки, я бы дал права локального администратора тем пользователям, которые знают, что делают, и не собираются «случайно» что-то испортить. (Это только мое мнение)
решение4
Я категорически не согласен с тем, что никогда не следует предоставлять права локального администратора. Я бы потратил колоссальное количество времени, если бы применял такую практику. Однако, чем больше становится ваша организация, тем сложнее оценить доверие к локальному администратору. Рассмотрите возможность использования политики «выжженной земли» для предоставления локального администратора с подписанной формой, сопровождающей предоставление такового. Такая политика будет звучать так: «если вы ее нарушите, то вы сами по себе, мы потратим несколько минут на ее изучение, а затем все будет стереть и перезагрузить».