Я ищу возможные решения для предотвращения привилегий локального администрирования для пользователей нашего домена. В настоящее время мы предоставляем пользователям нашего домена права локального администрирования, чтобы избежать проблем с различными приложениями. Некоторые приложения не будут запускаться или работать правильно без прав локального администратора.
Теперь меня интересует текущее состояние технологий или передовых методов, позволяющих избежать подобных разрешений. Например, мы хотели бы ограничить локальные разрешения и запретить установку и выполнение ненадежных приложений.
Я нашел политики ограниченного использования программ и AppLocker, а также MDOP от Microsoft.
Какие технологии и лучшие практики вы могли бы порекомендовать?
Используйте processmonitor и разрешайте только там, где они нужны. (также известный как куст реестра файлов и папка с файлами). Это можно сделать через gpo, чтобы предоставить такие разрешения. Сделал это для acad в примере, и теперь это хорошо работает без прав администратора.
Имейте в виду, что это долгий процесс.
Отредактировано: протестируйте App-V, если вы тоже можете, приложение запускается как администратор, так как все оно предварительно кэшировано. Таким образом, как если бы он писал в c: \ windows, он перенаправлялся в свой кеш.
Что сказал yagmoth555. Мы использовали этот--it предоставляет административные привилегии процессам, а не пользователям. (Меня в первую очередь просили предоставить эти привилегии установщикам программного обеспечения.) До этого мы экспериментировали с тем, какие каталоги / ключи реестра / и т. Д. должен был быть доступен для записи пользователям для запуска определенного программного обеспечения, что обычно (но не всегда) работает.
Однако я скажу, что лучший способ запретить пользователям устанавливать crud на свои рабочие станции - это что-то вроде:
$AcceptableAdmins = "YourDomain\Domain Admins", "YourDomain\Someuser", "YourDomain\Someotheruser"
$members = net localgroup administrators | where {$_ -notmatch "command completed successfully"} | where { $AcceptableAdmins -notcontains $_}
foreach($member in $members)
{
net localgroup "power users" $member /add
net localgroup administrators $member /del
}
(Я подозреваю, что это не то, что вы искали, но, по моему опыту, это наиболее эффективно.)