Удаленное управление разрешениями WMI и удаление группы администраторов
Итак, я знаю, что вопрос кажется немного странным, но позвольте мне объяснить. У нас высшее образование, и у нас есть общедоступные компьютеры. Поэтому на этих компьютерах мы разрешаем всем пользователям нашего отдела быть администраторами на этих компьютерах. Это связано с тем, что им может потребоваться протестировать драйвер, установить программное обеспечение и т. Д. Мы смягчаем это, используя DeepFreeze, который невозможно удалить без нашего ведома. Таким образом, любые изменения будут отменены после перезапуска.
Я только начал несколько месяцев назад, и я действительно настаиваю на PowerShell для наших потребностей в автоматизации и отчетности (не говоря уже о том, что он бесплатный по сравнению с использованием платного программного обеспечения). Работая над сценарием отчета, я обнаружил, используя простые удаленные команды, такие как Get-Service -ComputerName LABPC-01 может быть выполнен от обычного пользователя, но они являются администратором на этом компьютере. Однако пользователи не могут начать сеанс PS. Это касается меня, потому что, хотя у нас есть DeepFreeze, какой-то осел может просто перезагрузить компьютер, если ученик работает над учебой.
Так что после пяти часов чтения многочисленных сообщений я нашел скрипт PowerShell, который позволит мне изменять разрешения WMI. Однако у меня возникают проблемы при удалении группы администраторов. Каждый раз, когда я удаляю доступ, система просто добавляет их обратно. Обычно я знаю, что хотел бы этого, но это один раз, когда я хочу удалить эту группу. Даже если они не могут выполнить что-то столь серьезное, как перезапуск, мы не хотим, чтобы кто-то хотел читать данные удаленно (кроме ИТ). Я знаю очевидный ответ, чтобы удалить каждого из группы администраторов, и мы рассматриваем это (на самом деле собираемся использовать Unified Write Filter), но в такой среде подобное изменение должно проходить через цепочку событий, и займет некоторое время для завершения на 500 машин.
Любая помощь с благодарностью!