Проблема:
У нас есть сайт, на котором есть как Windows 2000, так и Windows XP. В настоящее время у них есть учетные записи пользователей с правами администратора, которые могут устанавливать лицензионное / нелицензионное программное обеспечение. Мы хотим ограничить такую деятельность, чтобы,
Я ищу способ добиться этого с помощью любых инструментов MS или сторонних производителей. Все предложения приветствуются.
Редактировать: Учитывая эти проблемы, каковы были бы рекомендации?
Если вам действительно НЕОБХОДИМО это сделать (...), вам стоит узнать о политиках ограниченного использования программ Windows: http://technet.microsoft.com/en-us/library/bb457006.aspx
[начало тирады]
По правде говоря, похоже, что для чего-то, что IMO, кажется, особенно легко обойти, похоже, много работы, так как пользователи в конце (как вы указали) будут неограниченный доступ.
[конец тирады]
В любом случае, вот информация по этой ссылке:
Политики ограниченного использования программ являются частью стратегии безопасности и управления Microsoft, призванной помочь предприятиям повысить надежность, целостность и управляемость своих компьютеров. Политики ограниченного использования программ - одна из многих новых функций управления в Windows XP и Windows Server 2003.
В этой статье подробно рассматривается, как можно использовать политики ограниченного использования программ для:
- Борьба с вирусами
- Регулируйте, какие элементы ActiveX можно загружать
- Запускать только скрипты с цифровой подписью
- Обеспечьте установку на системные компьютеры только утвержденного программного обеспечения
- Заблокируйте машину
Использовать SRP. Используйте параметр хэштегов, чтобы разрешить установку и запуск только того программного обеспечения, которое вы хотите. Я бы также подумал о том, чтобы исключить их из числа администраторов и вместо этого передать учетные записи опытным пользователям. Что касается людей, которые не хотят быть исключенными из группы администраторов, я был бы особенно внимателен к тому, что им разрешено запускать.
Пользователи могут установить / удалить предварительно утвержденный список программного обеспечения.
Я думаю, что у Windows есть «Политики ограниченного использования программ» или что-то в этом роде в групповых политиках.
Пользователям предоставляется неограниченный доступ ко всем остальным системным ресурсам (все права администратора, кроме установки программного обеспечения).
Это всего в 10 минутах от возможности установки любого программного обеспечения. (Фактически, для большей части всего доступного программного обеспечения вам не нужно ничего устанавливать - просто разархивируйте и дважды щелкните файл .exe)
Пытаться ограничить администратора - очень плохая идея.