Как вы блокируете рабочие станции и по-прежнему поддерживает устаревшие приложения, которым требуются права локального администратора?
Я знаю, что все мы изо всех сил пытаемся найти баланс между блокировкой рабочих станций наших пользователей, но тем не менее их можно использовать. У меня есть реальная проблема с одним клиентом, чьи пользователи постоянно устанавливают панели инструментов, игры, вредоносные программы и т. Д. Я действительно хочу иметь возможность лишить их локальных административных прав (как и управление). Проблема заключается в том, что они полагаются на несколько плохо написанных приложений, для работы которых требуются права локального администратора. Пока никто не предложит это, невозможно избавиться от этих приложений.
Я понимаю, что могу создавать собственные ярлыки для этих приложений, используя команду runas и сохраняя учетные данные локального администратора. Проблема с этим решением:
- Я должен вручную предоставить учетные данные локального администратора для каждого пользователя.
- Некоторые программы полагаются на данные в локальном профиле пользователя и не функционируют должным образом, если их "обмануть", полагая, что они работают в профиле ComputerName\Administrator.
Я хотел бы установить какое-либо приложение или применить групповую политику, которая позволяет мне указывать приложения, которым следует разрешить повышение разрешений локального профиля. Есть ли такое решение?
Как все остальные обрабатывают блокировку рабочих станций и все еще поддерживают устаревшее / плохо написанное программное обеспечение?
10 ответов
Редко, когда программному пакету действительно нужны права администратора, скорее, он пишет в область реестра или на жесткий диск, к которым обычно имеют доступ администраторы, а другие пользователи не имеют. Это может звучать как придирчивость, но это важно для решения этой проблемы.
Вы можете использовать редактирование монитора процесса : спасибо инструментам от Microsoft, чтобы следить за тем, что делают приложения, и распределять права на эти области для пользователей. http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Затем вы можете использовать групповые политики для применения списков контроля доступа к файлам, папкам и частям реестра. Распространенной причиной этой проблемы является запись программы в / или ее установочную папку в каталоге c:\program files или ее глобальные настройки в реестре компьютера в разделе HKey Local Machine.
Вы можете получить несколько полезных советов из другой темы на эту тему: Устаревшие приложения, требующие прав администратора в XP
После этого вы сможете установить необходимые разрешения для файловой системы и реестра с помощью объекта групповой политики.
Я считаю Process Monitor и Microsoft Application Compatibility Toolkit полезными, когда пытаюсь заставить тупые старые приложения работать. Также есть LUA Buglight, но я не пробовал.
Что касается блокировки, я бы дал права локального администратора тем пользователям, которые знают, что они делают, и не собираются "случайно" уничтожать вещи. (это только мое мнение)
Мы разработали два хороших способа поддержки пользователей без прав администратора:
1 Создайте группу с учетными записями "[user]-adm" и создайте их для опытных пользователей, которым может потребоваться доступ. Затем активируйте учетные записи на пару часов, когда им звонят с необходимыми правами. Они могут щелкнуть правой кнопкой мыши и использовать "RUN AS" для установки с повышенными правами.
2 Мы создали запланированное задание, которое загружало командный файл при запуске. Если пользователь открыл ярлык на своем рабочем столе, он запустил пакетный файл (уже запущенный в памяти, чтобы избежать паролей open-txt) и добавил его в группу local-admin. Письмо автоматически отправляется в службу поддержки, и запускается таймер, который сохраняет его активным только в течение 1 часа. Билет службы поддержки отслеживает использование, поэтому любое злоупотребление регистрируется. Тот работал довольно хорошо, но первый вариант выше более приемлем.
Я очень не согласен с тем, что никогда не предоставляю права локального администратора. Я бы потратил колоссальное количество времени, если бы использовал эту практику. Тем не менее, сложно оценить доверие локального администратора, чем больше ваша организация. Рассмотрите возможность использования политики "Scorched Earth" для предоставления местному администратору подписанной формы, сопровождающей его предоставление. Указанная политика будет звучать так: "если вы ее сломаете, то вы будете одни, мы потратим несколько минут на ее изучение, а затем - на стирание и перезагрузку".
Большинство приложений, которые не запускаются от имени обычного пользователя, перестают работать из-за отказа в доступе к файлу или реестру.
В Windows XP вы можете управлять ACL различными папками и каталогами, к которым программа должна иметь доступ, чтобы обычный пользователь мог получить к ним доступ.
т.е. дать каждому полный контроль над
c:\Program Files\World of Warcraft
HLKM\Software\Green Planet\Project Quantum
Если они пытаются зарегистрировать COM-объект или расширение файла, вы можете убедиться, что он зарегистрирован один раз, а затем также предоставить полный контроль над этой ветвью улья. например:
HKLM\Software\Classes\GreenPlanet.ProjectQuantum.1
HKLM\Software\Classes\CLSID\{9785B48F-520D-4179-8DEE-A4C7DDEBAB4F}
Если ваши люди работают под управлением Windows Vista, у них больше шансов на успешную работу в качестве обычного пользователя. Microsoft наклонилась назад, чтобы приложения работали как обычный пользователь, когда они потерпели бы неудачу в Windows XP.
Его виртуализация файлов и реестра весьма полезна и работает с приложениями, которые думают, что им нужно писать в машинные места.
Реальный ответ - исправить приложение. На земле почти нет приложений, которым нужно было бы писать в общих местах машин. Эти приложения должны быть исправлены авторами.
Если вам удалось найти одно или два приложения на Земле, у которых есть веская причина для записи в общие местоположения, и вы не хотите, чтобы ваши пользователи работали в качестве администраторов, то вы получаете доступ к тем местам, к которым у них есть доступ.
Я не думаю, что вы действительно знаете, как работает приложение, если действительно думаете, что для работы этих приложений нужен администратор. Продавцы продукта скажут вам об этом, потому что это легко справиться, но на самом деле это почти всегда неверно. Я работаю в среде DOD, и мы никогда не давали никаких административных прав на их систему, потому что всегда есть способы обойти это. Я обычно заканчиваю тем, что использую Process Monito, о котором упоминали многие, но вы также должны прочитать Web-журнал Аарона Маргозиса "Не администратор", посвященный тому, как преодолеть эти проблемы и всегда использовать учетную запись с минимальными привилегиями. Я также рекомендую прослушать подкаст Least User Access (LUA) от Microsoft Technet Radio, поскольку они затронули эту тему с Аароном Маргосисом. Похоже, у Аарона появился новый инструмент под названием LUA Buglight 2.0, который должен помочь в преодолении требований приложений, но, честно говоря, я никогда не использовал его.
Доступ наименьшего пользователя (LUA)
Вы также можете рассмотреть ThinApp VMware (ранее Thinstall)
Не уверен, что это может обойти эту конкретную проблему, но может быть в состоянии.
Virtual PC или VMWare могут быть решением, в зависимости от ситуации.
Можно ли запускать приложения в терминальной сессии? Таким образом, вы можете предоставить права "локального администратора" для TS, но не для реального локального компьютера.
-JFV