Меня интересует, что считается передовой практикой при настройке ноутбуков для удаленных пользователей, которые никогда не находятся в офисе. С UAC в Windows 7 обычные пользователи значительно ограничены в своих возможностях. Если вы не хотите отключать UAC или делать пользователя администратором, какие настройки вы меняете, чтобы предоставить им базовый доступ, но при этом сохранить безопасность?
Некоторые разочарования, с которыми я недавно столкнулся, включают:
Приведенный выше список можно расширять до бесконечности. В общем, какие настройки и разрешения вы меняете, чтобы подготовить ноутбуки / ноутбуки к работе в качестве ограниченного пользователя, где доступ администратора в лучшем случае затруднен?
Как администратор, как вы удовлетворяете потребности пользователей и упрощаете поддержку, когда они находятся не в офисе или на расстоянии простого подключения к удаленному рабочему столу?
Предоставьте отдельную учетную запись с правами администратора, которую они могут использовать для этих типов действий. У пользователя не будет удобного доступа к своим сетевым ресурсам (документам и электронной почте) с этой учетной записью, поэтому они не будут склонны использовать ее все время. Они могут использовать привилегированную учетную запись в первую очередь для запроса UAC или, возможно, даже для входа в систему с полнофункциональным рабочим столом для некоторых крайних случаев.
Если учетная запись является учетной записью домена, ее необходимо будет зарегистрировать хотя бы один раз при подключении к сети, чтобы ее можно было использовать (для кэширования учетных данных).
Обратите внимание, что для того, чтобы это сработало, потребуется либо принудительное применение группы администраторов с помощью групповой политики, либо аудит, чтобы убедиться, что они не добавили себя в группу администраторов. Есть множество подходов.
На самом деле мы делаем это, используя локальную учетную запись с одинаковым именем на каждом компьютере, что упрощает настройку для принудительного применения GPO. Но есть проблемы управления, связанные с ротацией паролей для локальных учетных записей. Если вы согласны с тем, что пользователь управляет паролем локальной учетной записи, подход с локальной учетной записью, вероятно, подойдет вам, и вам не нужно беспокоиться о кэшированных учетных данных с локальными учетными записями.
Вам также может быть интересно узнать, что группа опытных пользователей не имеет тех привилегий, которые были у нее в Windows XP (к счастью). Однако, если вы действительно хотите выстрелить себе в ногу, можно применить шаблон безопасности к системным файлам, папкам, настройкам и привилегиям реестра, чтобы предоставить опытным пользователям прежний уровень доступа.
Разрешения и права были удалены из группы опытных пользователей в Windows Vista
http://support.microsoft.com/kb/2028493
Права пользователя
http://technet.microsoft.com/en-us/library/dd349804%28v=ws.10%29.aspx