Я хочу запретить людям устанавливать программное обеспечение на свои ПК с помощью WS2008. Я что-то читал, и там сказано, что мне следует изменить уровень безопасности в соответствии с политиками ограниченного использования программ. Но когда я установил его с неограниченного на базовый, некоторые программы на моем пользовательском ПК перестали работать. Как сделать исключения для работы этих программ?
Есть технологические меры, которые вы можете предпринять, чтобы пользователям было сложнее устанавливать программное обеспечение на свои ПК с Windows (о которых я упомяну в конце). Однако это дисциплинарный вопрос, а не технический, и, вероятно, с ним лучше справиться с помощью политик и дисциплинарных процедур - поскольку какой-нибудь умный человек всегда найдет способ обойти ваши ограничения - если только он не почувствует значительных последствий своих действий.
Полагаю, вы ИТ-администратор компании. Я хотел бы убедить руководство в том, что пользователи, устанавливающие неавторизованное программное обеспечение на машинах, - это не просто техническая проблема, но и юридический и финансовый риск, и попросил бы их принять дисциплинарные меры. Затем просто время от времени проводите аудиты, и если обнаруживается неавторизованное программное обеспечение, начинайте дисциплинарные процедуры - устное предупреждение, письменное предупреждение и т. Д. Как только появится достаточно боли, связанной с обходом политик, люди прекратят свое поведение сами.
В Windows XP может быть чрезвычайно сложно настроить программное обеспечение для работы с ограниченными правами, а не с правами администратора - Windows Vista и 7 достигли определенного прогресса в этом отношении, поэтому обновление ПК поможет. Один из лучших способов узнать, какие разрешения вам нужно предоставить, - запустить такой инструмент, как Монитор процесса, который покажет вам, к чему именно программа пытается получить доступ и что не удается из-за проблем с правами, и вы можете предоставить права.
Это может быть очень утомительно, поэтому я также порекомендую некоторые другие способы, менее интенсивные для администратора, чтобы усложнить установку неавторизованного программного обеспечения - хотя эти методы будут значительно раздражать пользователей и иногда могут мешать нормальной работе, поэтому предпочтительны дисциплинарные методы:
Ответ @BorkBlatt довольно хорош с охватом нескольких баз. Если вы хотите использовать комплексное профилактическое решение, есть такие приложения, как Deep Freeze. Вы настраиваете машину так, как хотите, «замораживаете» ее, и что бы ни было изменено, машина возвращается в «замороженное» состояние при перезагрузке.
Другими словами, вы можете удалить подкаталог Windows, и при перезагрузке каталог снова появится.
Однако это влечет за собой собственные накладные расходы на управление. Вам нужно использовать инструменты управления для создания окна обслуживания (при условии, что обновления Windows будут работать для вас надежно), хотя с новым способом установки определенных вещей в Windows 7 при перезагрузке мы сочли это плохой идеей. В противном случае вам необходимо обновить системы вручную. С антивирусами сложно работать, если вы настаиваете на их запуске на клиентских машинах, поскольку обновленные сигнатуры стираются при перезагрузке, но, с другой стороны, любые инфекции в системе также стираются при перезагрузке.
Ваши пользователи могут использовать либо «оттаивание» (другая буква диска на локальном диске), либо подключенный к сети диск для постоянного хранилища, если вы используете DF, и их перемещаемый профиль будет (или должен) сохранить настройки рабочего стола / приложения. По сути, единственные приложения, которые они могли установить, - это их локальный профиль или подключенный диск, но изменения, которые зависят от прикрепления файлов к любому каталогу Windows, могут быть удалены при запуске. Если они будут настаивать на установке программного обеспечения, они, как правило, будут переустанавливать его каждый раз, так что оно того не стоит.
Да, и с Deep Freeze вам нужно отключить параметр Active Directory, который периодически меняет идентификатор рабочей станции. Иначе ваши рабочие станции «отвалятся» от домена.
Я также предлагаю проверить, к чему действительно нужен доступ вашим пользователям. Используйте принцип наименьших полномочий - если им не нужен какой-либо доступ выше обычного пользователя, не давайте его. Не позволяйте людям работать как администраторы. Используйте набор инструментов Sysinternals для предоставления минимальных привилегий определенным подкаталогам, когда программы жалуются на невозможность чтения / записи в конкретный раздел реестра или каталог.
На мой взгляд, занесение в белый список разрешенных исполняемых файлов более радикально, чем Deep Freeze, если только вы редко, если вообще когда-либо, меняете, какие программы вы запускаете. Существуют такие программы, как LanSweeper, которые будут следить за вашей сетью и предоставлять вам списки того, какое программное обеспечение зарегистрировано как установленное, чтобы вы могли таким образом проводить аудит программного обеспечения.
Должен идти в ногу
самое главное нет. 1
в моей компании каждый новый сотрудник сначала проходит вводный курс по ИКТ. они узнают там, что можно и чего нельзя.