Назад | Перейти на главную страницу

Групповая политика: установка прав доступа к рабочему столу

Я работаю неполный рабочий день сетевым / системным администратором в небольшой школе. Школа использует коммерческую информационную систему для учащихся, которая обновляется ежеквартально. После обновления сервера пользователи не смогут получить доступ к SIS без того, чтобы администратор вручную запустил установщик обновлений на каждом компьютере. Так было столько, сколько кто-нибудь помнит.

Мой предшественник (и) приложил все усилия, чтобы заблокировать рабочие столы. Я предполагаю попытаться предотвратить случайную установку пользователями вирусов и тому подобного (их усилия не удались, я мог бы добавить). Это, по-видимому, причина того, что SIS не может автоматически обновлять каждый рабочий стол без входа в систему администратора. После недавнего обновления ситуация ухудшилась. Теперь пользователи не могут даже использовать программу в обычном режиме без повышенных прав, не говоря уже об установке обновлений.

Поскольку мне не удалось найти параметры, которые ограничивают пользователей, мне пришлось вручную добавлять каждого пользователя в группу администраторов на его собственном локальном компьютере. Конечно, это означает, что в случае неисправности одного пользователя этот пользователь не может использовать машину другого пользователя, пока я не отремонтирую ее.

Я предполагаю, что параметры безопасности, которые мне нужно изменить, определены в редакторе групповой политики, но я не могу найти где. Любая помощь будет оценена.

P.S. Если вы не догадались, я не обучен администрированию Windows. Я узнал достаточно, читая файлы справки, но моя повседневная работа - разработка программного обеспечения.

Лучший совет - связаться с поставщиком программного обеспечения информационной системы для учащихся и оказать на них давление, чтобы они создали версию своего программного обеспечения, которая не требует доступа локального администратора на компьютере. Это ошибка дизайна с их стороны, и они должны ее исправить.

Другой вариант - это, конечно, попытаться разбить окна осторожным способом, чтобы позволить запускать только приложение, и в этом случае вам понадобится Монитор процесса и хороший глаз для выяснения ошибок отказа в разрешении.


РЕДАКТИРОВАТЬ: Я думаю, что самый простой способ решить эту проблему - поместить всех пользователей, которым требуется доступ администратора для этого приложения, в группа безопасности домена и затем добавьте группу домена в список локальных администраторов на ПК, к которым им нужен доступ.

Если вы хотите стать еще более сложным, вы можете создать групповую политику и назначить ее для OU компьютеров, где вы хотите, чтобы вашей группе безопасности был разрешен доступ администратора.

Если вы хотите покопаться в групповых политиках, используйте Управление групповой политикой приставка. Отчеты позволяют легко увидеть, что было установлено в политике, и где в домене она была применена.

В большинстве случаев права локального администратора необходимы для запуска программы только потому, что программа записывает или обновляет данные в папке «Program Files». Эта папка обычно доступна только для чтения для пользователей, не являющихся администраторами. Обычно виноваты файлы конфигурации!

Предлагаю эксперимент. Используйте локального администратора, чтобы предоставить всем пользователям полные права на папку, в которую установлена ​​программа. Затем попробуйте запустить его и попробуйте запустить установщик обновлений.

В случае успеха вы можете использовать GP для глобальной настройки разрешений или можете поместить команду CACLS в сценарий входа в систему.

Если компьютер Windows присоединен к домену Active Directory, могут существовать групповые политики AD, ограничивающие каждого пользователя. Это очень эффективный способ заблокировать рабочие столы.

Управление локальными администраторами

ИМХО лучший способ управлять привилегиями локального администратора в домене выглядит следующим образом.
1- Создайте группу домена (скажем, «Администраторы рабочего стола»)
2- На каждой рабочей станции добавьте группу «Администраторы рабочего стола» домена в группу локальных администраторов.
-> Это можно сделать через GPO, хотя я использовал его до GPO.
3- При необходимости поместите отдельных пользователей домена в группу домена «Desktop Admin» и из нее.

Примечание: Ник предлагает то же самое, но я конкретизировал это для потомков.