Проблема:
У нас есть сайт, на котором есть смесь машин Windows 2000 и Windows XP. В настоящее время у них есть учетные записи пользователей с правами администратора, которые могут устанавливать лицензионное/нелицензионное программное обеспечение. Мы хотим ограничить такие действия, чтобы,
- Пользователи могут устанавливать/удалять предварительно одобренный список программного обеспечения.
- Пользователям предоставляется неограниченный доступ ко всем остальным системным ресурсам (все права администратора, за исключением установки программного обеспечения).
Я ищу способ сделать это с помощью любых инструментов MS или сторонних. Все предложения приветствуются.
Редактировать:Учитывая эти проблемы, какие рекомендации можно дать?
решение1
Если вам ДЕЙСТВИТЕЛЬНО НУЖНО это сделать (...), вам следует изучить политику ограничения программного обеспечения Windows:http://technet.microsoft.com/en-us/library/bb457006.aspx
[начать тираду]
Но, честно говоря, это выглядит как МНОГО работы для того, что, по моему мнению, обойти особенно легко, поскольку в конечном итоге пользователи (как вы и указали) будут иметьнеограниченный доступ.
[конец тирады]
В любом случае, вот некоторая информация по этой ссылке:
Политики ограничения программного обеспеченияявляются частью стратегии безопасности и управления Microsoft, призванной помочь предприятиям повысить надежность, целостность и управляемость их компьютеров. Политики ограничения программного обеспечения являются одной из многих новых функций управления в Windows XP и Windows Server 2003.
В этой статье подробно рассматривается, как политики ограничения использования программного обеспечения могут использоваться для:
- Борьба с вирусами
- Регулировать, какие элементы управления ActiveX можно загружать
- Запускать только скрипты с цифровой подписью
- Обеспечить установку на системных компьютерах только одобренного программного обеспечения.
- Блокировка машины
решение2
Пользователи могут устанавливать/удалять предварительно одобренный список программного обеспечения.
Я думаю, что в Windows есть «Политики ограниченного использования программ» или что-то в этом роде в групповых политиках.
Пользователям предоставляется неограниченный доступ ко всем остальным системным ресурсам (все права администратора, за исключением установки программного обеспечения).
Это всего лишь 10 минут от того, чтобы иметь возможность установить любое программное обеспечение. (На самом деле, для большей части всего доступного программного обеспечения вам не нужно ничего устанавливать — просто распакуйте и дважды щелкните по .exe-файлу.)
Попытка ограничить Администратора — очень плохая идея.
решение3
ИспользоватьСРП. Используйте опцию хэштегов, чтобы разрешить им устанавливать и запускать только то программное обеспечение, которое вы хотите. Я бы также рассмотрел возможность исключить их из администраторов и вместо этого перевести их учетные записи в разряд опытных пользователей. Что касается людей, которые не хотят, чтобы их исключили из группы администраторов, я бы был особенно осторожен с тем, что им разрешено запускать.