Я знаю, что все мы пытаемся найти баланс между тем, чтобы рабочие станции наших пользователей оставались заблокированными, но все же работоспособными. У меня настоящая проблема с одним клиентом, пользователи которого постоянно устанавливают панели инструментов, игры, вредоносные программы и т. Д. Я действительно хочу иметь возможность отобрать их локальные административные права (как и управление). Проблема в том, что они полагаются на горстку плохо написанных приложений, которым для правильной работы требуются права локального администратора. До того, как кто-нибудь это предложит, от этих приложений невозможно избавиться.
Я понимаю, что могу создавать собственные ярлыки для этих приложений, используя команду runas и сохраняя учетные данные локального администратора. Проблема с этим решением:
Я бы хотел установить какое-нибудь приложение или применить групповую политику, которая позволяет мне указывать приложения, которым должно быть разрешено повышать разрешения локального профиля. Есть ли такое решение?
Как все остальные справляются с блокировкой рабочих станций и по-прежнему поддерживают устаревшее / плохо написанное программное обеспечение?
Редко, когда программному пакету действительно нужны права администратора, это скорее запись в область реестра или на жесткий диск, к которой администраторы обычно имеют доступ, а другие пользователи - нет. Это может показаться придиркой, но это фундаментально для решения этой проблемы.
Вы можете использовать процесс монитор изменить: спасибо grawity инструменты от Microsoft для отслеживания того, что делают приложения, и предоставления пользователям прав на эти области. http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
Затем вы можете использовать групповые политики для применения списков контроля доступа к файлам и папкам и частям реестра. Распространенной причиной этой проблемы является запись программы в / или ее установочную папку в c: \ program files или ее глобальные настройки в реестре компьютера в HKey Local Machine.
Вы можете почерпнуть несколько полезных советов из другой ветки по этой теме: Устаревшие приложения, требующие прав администратора в XP
После этого вы сможете установить необходимые разрешения для файловой системы и реестра с помощью объекта групповой политики.
Мы разработали два хороших метода поддержки пользователей без прав администратора:
1. Создайте группу с учетными записями «[user] -adm» и создайте их для опытных пользователей, которым может потребоваться доступ. Затем активируйте учетные записи на пару часов, когда они позвонят, требуя прав. Они могут щелкнуть правой кнопкой мыши и использовать "БЕГИ КАК"установить с повышенными правами.
2. Мы создали запланированную задачу, которая загружала командный файл при запуске. Если пользователь открывает ярлык на своем рабочем столе, он запускает командный файл (уже запущенный в памяти, чтобы избежать паролей open-txt) и добавляет его в группу local-admin. Электронное письмо автоматически отправляется в службу поддержки, и запускается таймер, который поддерживает его активность только в течение 1 часа. Тикет службы поддержки отслеживает использование, поэтому любые нарушения регистрируются. Этот вариант работал довольно хорошо, но первый вариант выше более приемлем.
я нахожу Монитор процесса и Microsoft Набор средств обеспечения совместимости приложений полезно при попытке получить тупицаунаследованные приложения работают. Есть также LUA Buglight, но я не пробовал.
Что касается блокировки, я бы дал права локального администратора тем пользователям, которые знают, что делают, и не собираются «случайно» что-то разрушать. (это только мое мнение)
Я категорически не согласен с тем, чтобы никогда не предоставлять доступ локального администратора. Если бы я использовал эту практику, я бы потратил колоссальное количество времени. Однако по мере роста вашей организации сложно оценить доверие местного администратора. Рассмотрите возможность использования политики «выжженной земли» для предоставления местному администратору подписанной формы для сопровождения ее предоставления. Сказанная политика была бы такой: «Если вы сломаете его, вы сами по себе, мы потратим несколько минут на его изучение, а затем очистим и перезагрузим».
Я не думаю, что вы действительно знаете, как работает приложение, если действительно думаете, что этим приложениям для работы нужен администратор. Продавцы продуктов скажут вам об этом, потому что от этого легко избавиться, но на самом деле это почти всегда неправда. Я работаю в среде Министерства обороны США, и мы никогда не давали никаких административных прав для их системы, потому что всегда есть способы обойти это. Обычно я использую Процесс Монитоr, о котором упоминали многие люди, но вы также должны посмотреть на чтение WebLog Аарона Маргозиса "не администратора", он посвящен тому, как преодолеть эти проблемы и всегда использовать учетную запись с минимальными привилегиями. Также рекомендую послушать Подкаст Least User Access (LUA) от Microsoft Technet Radio, поскольку они затронули эту тему с Аароном Маргозисом. У Аарона появился новый инструмент под названием LUA Buglight 2.0 который должен помочь в процессе преодоления требований приложения, но, честно говоря, я никогда им не пользовался.
Наименьший доступ пользователей (LUA)
Вы также можете рассмотреть ThinApp от VMware (ранее Thinstall)
Не уверен, что это может обойти эту конкретную проблему, но может быть.
Виртуальный ПК или VMWare могут быть решением, в зависимости от ситуации.
Большинство приложений, которые не запускаются от имени обычного пользователя, не работают из-за файл или реестр доступ, что им отказано.
В Windows XP вы можете ACL различные папки и места в реестре, к которым программе нужен доступ, чтобы стандарт пользователь может получить к ним доступ.
т.е. дать Все полный контроль над
c:\Program Files\World of Warcraft
HLKM\Software\Green Planet\Project Quantum
Если они пытаются зарегистрировать COM-объект или расширение файла, вы можете убедиться, что он зарегистрирован один раз, а затем также передать полный контроль этой ветке улья. например.:
HKLM\Software\Classes\GreenPlanet.ProjectQuantum.1
HKLM\Software\Classes\CLSID\{9785B48F-520D-4179-8DEE-A4C7DDEBAB4F}
Если ваши сотрудники используют Windows Vista, у них больше шансов успешно работать в качестве стандартного пользователя. Microsoft сделала шаг назад, чтобы заставить приложения запускаться от имени обычного пользователя, хотя в Windows XP они не смогли бы работать.
Его виртуализация файлов и реестра весьма полезна и позволяет обойти приложения, которые считают, что им нужно писать в места на всей машине.
Настоящий ответ - исправить приложение. На Земле почти нет приложений, которым нужно писать в общие для машин местоположения. Эти приложения должны быть исправлены авторами.
Если вам удалось найти одно или два приложения на Земле, у которых есть явная причина для записи в общие местоположения, и вы не хотите, чтобы ваши пользователи работали в качестве администраторов, то вы устанавливаете ACL для этих местоположений, чтобы они имели к ним доступ.
Можно ли запускать приложения в терминальном сеансе? Таким образом, вы можете предоставить права «локального администратора» на TS, но не на реальном локальном компьютере.
-JFV