Опытный пользователь использует командный файл для отключения общего доступа администратора
Пользователь в моей сети (фактически, мой предшественник) отключает общий доступ администратора с помощью пакетного файла, который запускается при каждом запуске компьютера. Я хотел бы отключить это без ведома пользователей. Я также хотел бы сделать это удаленно и по желанию. Это возможно?
Этот пользователь больше не имеет роли ИТ в компании, но любит использовать свои знания для обхода политики допустимого использования в наших компаниях. У меня есть скриншоты различных файлов и папок, которые могут служить доказательством, но я не уверен, как далеко я доберусь, если проинформирую его начальство (офисная политика). Любые предложения по этому вопросу также будут оценены.
Рассматриваемая машина - Windows 7 Pro 32-битная. Мы используем Server 2003 для нашего домена.
ОБНОВЛЕНИЕ: я использовал объект групповой политики, чтобы отключить компьютеры в моей сети от запоминания последнего пользователя, а затем играл "Я глуп, помнишь?" карта, когда я симулировал незнание того, почему это происходило. Я также обнаружил, что если компьютер выключен и снова включен, общие ресурсы восстанавливаются (я знал эту часть), но не удаляются, пока ПОСЛЕ того, как он войдет в соответствующую коробку. Оглядываясь назад, я должен был это понять.
Я все еще хотел бы любые предложения, чтобы я мог использовать групповую политику на уровне домена, чтобы ограничить его уничтожение своей собственной коробкой. Я также хотел бы убедиться, что tosser не может войти ни в один компьютер в сети, кроме его собственного.
3 ответа
Хотя может быть техническое решение для этого, это действительно больше проблема политики /HR. Проинформируйте менеджера пользователя о ситуации и отделе кадров. Если они закрывают глаза на ситуацию, то вам не так много нужно сделать. В этой ситуации они неявно потворствуют его поведению, и даже если вы отключите его возможность отключить общий доступ администратора, вы, скорее всего, услышите об этом, и вам будет предложено повторно разрешить пользователю продолжить его поведение.
Есть ли у этого пользователя права администратора? (Я предполагаю, что да) Если не считать их удаления, я не уверен, как бы вы помешали ему отключить общий доступ администратора.
Это не очень элегантное решение, но вы можете просто создать запланированное задание, чтобы повторно включить общий ресурс администратора, и запускать его каждый час. Если у него есть разрешения на добавление / удаление запланированных задач, он также может отключить задачу, но вы также можете использовать групповую политику, чтобы запретить ему доступ к этой конкретной оснастке MMC. (Запланированные задачи в Windows 7 являются оснасткой MMC, тогда как в XP и Server 2003 их нет, поэтому вам может потребоваться выполнить эти конфигурации с другого компьютера с Windows 7, а не с DC, так как я не думаю, что плагин задач будет появляются на DC.)
Независимо от того, является ли это проблемой HR или нет, проблема все еще существует в том, что у пользователя есть возможность обойти политику. В то время как обращение в HR является обязательным в списке (пользователь делает это специально), следующий пункт в списке должен гарантировать, что это не повторится.
Что касается управления, заставляющего вас изменять настройки обратно, я нахожу это крайне маловероятным, поскольку пользователь фактически делает свою машину "неуправляемой", и, следовательно, теперь это уязвимость.
Прежде всего, убедитесь, что пользователь не является администратором на компьютере. Во-вторых, вы можете применить групповую политику, чтобы отключить любую программу, которую пользователь использует в своем сценарии для отключения этих общих ресурсов.
http://blog.thejoshmeister.com/2004/12/disabling-applications-with-active.html