Итак, я знаю, что вопрос кажется немного странным, но позвольте мне объяснить. У нас высшее образование, и у нас есть общественные компьютеры. Таким образом, на этих компьютерах мы позволяем всем пользователям в нашем отделе быть администраторами на этих машинах. Это связано с тем, что им может потребоваться протестировать драйвер, установить программное обеспечение и т. Д. Мы смягчаем это с помощью DeepFreeze, который невозможно удалить без нашего ведома. Таким образом, любые изменения будут отменены после перезапуска.
Я только начал несколько месяцев назад, и я действительно продвигаю PowerShell для наших нужд автоматизации и отчетности (не говоря уже о том, что это бесплатно по сравнению с использованием платного программного обеспечения). Работая над сценарием отчета, я обнаружил, что с помощью простых удаленных команд, таких как Get-Service -ComputerName LABPC-01 может быть запущен от обычного пользователя, но он является администратором на этом компьютере. Однако пользователи не могут начать сеанс PS. Это меня беспокоит, потому что даже при наличии DeepFreeze какой-нибудь осел может просто перезагрузить компьютер, если студент работал над академическими занятиями.
Итак, примерно через пять часов чтения многочисленных сообщений я нашел Сценарий PowerShell это позволит мне изменять разрешения WMI. Однако у меня возникают проблемы с удалением группы администраторов. Каждый раз, когда я удаляю доступ, система просто добавляет их обратно. Обычно я знаю, что хочу этого, но это единственный раз, когда я хочу удалить эту группу. Даже если они не могут выполнить что-то столь же серьезное, как перезапуск, мы не хотим, чтобы кто-либо желал читать данные удаленно (кроме ИТ). Я знаю очевидный ответ - удалить каждого из группы администраторов, и мы рассматриваем это (на самом деле собираемся использовать унифицированный фильтр записи), но в этом типе среды подобное изменение должно пройти через цепочку событий, и потребуется время для завершения 500 машин.
Любая помощь приветствуется!