Best Practices - Разрешения пользователя для ноутбука на базе Windows 7 Remote Road Warrior

Question

Best Practices - Разрешения пользователя для ноутбука на базе Windows 7 Remote Road Warrior

Меня интересует, что считается наилучшей практикой при настройке ноутбуков для удаленных пользователей, которые никогда не находятся в офисе. С UAC в Windows 7 обычный пользователь значительно ограничен в своих возможностях. Если вы не хотите отключать UAC или делать пользователя администратором, какие настройки вы изменяете, чтобы предоставить им базовый доступ, но при этом оставаться безопасным?

Некоторые разочарования, с которыми я столкнулся в последнее время:

Пользователь не может установить свой домашний принтер без прав администратора
Пользователь не может удалить поврежденное соединение клавиатуры Bluetooth без прав администратора, поэтому он может восстановить клавиатуру
Пользователь не может удалить глобальные ярлыки со своего рабочего стола
UAC отключает доступ через VNC-соединения при запросе пароля администратора

Приведенный выше список может быть расширен до бесконечности. В целом, какие настройки и разрешения вы изменяете, чтобы подготовить ноутбуки / ноутбуки к работе в качестве ограниченного пользователя, где доступ администратора в лучшем случае затруднен?

Как администратор, как вы удовлетворяете потребности пользователей и облегчаете поддержку, когда их нет в офисе или нет простого подключения к удаленному рабочему столу?

4

permissions windows-7 remote-access remote uac

Источник

bendiy 03 янв '12 в 23:49

1 ответ

Другие вопросы по тегам permissions windows-7 remote-access remote uac

Greg Askew 04 янв '12 в 00:40 2012-01-04 00:40 · Answer 1 · 2012-01-04 00:40

Предоставьте отдельную учетную запись с правами администратора, которые они могут использовать для этих видов деятельности. Пользователь не будет иметь удобного доступа к своим сетевым ресурсам (документам и электронной почте) с этой учетной записью, поэтому он не будет склонен использовать его все время. Они могут использовать привилегированную учетную запись в первую очередь для приглашения UAC или, возможно, даже для входа с полным рабочим столом в ограниченных случаях.

Если учетная запись является учетной записью домена, она должна быть зарегистрирована как минимум один раз при подключении к сети, чтобы ее можно было использовать (для кэширования учетных данных).

Обратите внимание, что для этого потребуется либо принудительное применение группы "Администраторы" с помощью групповой политики, либо аудит, чтобы убедиться, что они не добавили себя в группу "Администраторы". Есть множество подходов.

На самом деле мы делаем это, используя локальную учетную запись с одинаковым именем на каждом компьютере, что упрощает настройку для принудительного применения GPO. Но есть проблемы управления, связанные с ротацией паролей для локальных учетных записей. Если вы согласны с пользователем, управляющим паролем локальной учетной записи, подход с использованием локальной учетной записи, вероятно, подойдет вам, и вам не нужно беспокоиться о кэшированных учетных данных с локальными учетными записями.

Вам также может быть интересно узнать, что группа "Опытные пользователи" не имеет привилегий, которые она имела в Windows XP (к счастью). Однако, если вы действительно хотите выстрелить себе в ногу, можно применить шаблон безопасности к системным файлам, папкам, настройкам реестра и привилегиям, чтобы предоставить опытным пользователям предыдущий уровень доступа.

Разрешения и права были удалены из группы "Опытные пользователи" в Windows Vista
http://support.microsoft.com/kb/2028493

Права пользователя
http://technet.microsoft.com/en-us/library/dd349804%28v=ws.10%29.aspx