我知道我們都在努力在保持用戶工作站鎖定但仍然可用之間取得平衡。我對一個客戶有一個真正的問題,該客戶的用戶不斷安裝工具列、遊戲、惡意軟體等。問題是它們依賴一些編寫糟糕的應用程序,這些應用程式需要本地管理員權限才能正常運行。在有人建議之前,擺脫這些應用程式是不可能的。
我意識到我可以使用 runas 命令創建這些應用程式的自訂捷徑並保存本機管理員憑證。該解決方案的問題是:
- 我必須手動為每個使用者提供本機管理員憑證。
- 某些程式依賴本機使用者設定檔中的數據,如果「被欺騙」認為它們在 ComputerName\Administrator 設定檔下運行,則無法正常運作。
我想要的是安裝一些應用程式或應用一個群組策略,允許我指定應該允許提升本機設定檔權限的應用程式。有這樣的解決方案嗎?
其他人如何處理鎖定工作站並仍然支援遺留/編寫不良的軟體?
答案1
軟體包實際上需要管理員權限的情況很少見,而是寫入管理員通常有權存取而其他使用者無權存取的註冊表或硬碟區域。這聽起來可能有點吹毛求疵,但它是解決這個問題的基礎。
您可以使用該過程監視器 編輯:謝謝重力Microsoft 提供的工具可監視應用程式正在執行的操作,並將這些區域的權限指派給使用者。http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
然後,您可以使用群組原則將安全 ACL 套用至檔案和資料夾以及登錄的一部分。此問題的常見原因是程式寫入 c:\program files 中的安裝資料夾,或其 HKey Local Machine 下的電腦登錄中的全域設定。
答案2
您可能會從有關此主題的其他線程中獲得一些有用的提示:XP 上需要管理員權限的舊版應用程式
然後,您應該能夠使用 GPO 設定必要的檔案系統和登錄權限。
答案3
我發現過程監控器和微軟應用程式相容性工具包當嘗試讓遺留應用程式正常運作時很有用。還有LUA 探照燈,但我沒試過。
至於鎖定,我會將本機管理員權限授予那些知道自己在做什麼並且不會「意外」破壞事物的使用者。 (這只是我的意見)
答案4
我非常不同意從不授予本地管理員存取權限。如果我採用這種做法,我會浪費大量時間。然而,隨著組織規模的擴大,很難衡量對本地管理員的信任。考慮採用「焦土」政策,向本地管理員授予簽名表格以伴隨其授予。所說的政策是“如果你破壞了它,你就只能靠自己了,我們會花幾分鐘查看它,然後將其擦除並重新加載。”