我不想让域用户安装新软件,所以我必须取消管理员权限。但某些应用程序需要用户拥有管理员权限。我该如何解决这个问题?
我可以创建一个新的本地组并授予某些管理权限吗?
答案1
这最终取决于您希望环境有多安全。为了获得最大程度的安全,用户永远不应具有管理访问权限。因此,最好的方法是让管理员通过提升为本地管理员来运行应用程序(不要使用域管理员凭据来防止密码泄露),然后创建一个以管理员身份启动并运行应用程序的服务或程序。这样,您就可以进行细粒度控制,并且可以允许应用程序以管理员身份运行,而无需授予用户管理员权限,并将自己暴露给需要管理员权限的各种攻击,例如 ARP 中毒 MITM、NBT-NS 欺骗和 NTLMv2 MITM、密码泄露等。
Schtasks 应该能够实现这一点: https://msdn.microsoft.com/en-us/library/windows/desktop/bb736357(v=vs.85).aspx
答案2
创建本地组然后授予他们访问特定权限(文件夹、注册表项等)是完全可行的,但这始终取决于应用程序要求,并且可扩展性可能是一个问题。所以如果您有任何关于这些应用程序的示例,请随时分享。
同时,我可以建议以下解决方案来解决您的问题:
- [独立管理员账户]:为每个用户提供一个单独的帐户,该帐户将成为其计算机的本地管理员组的一部分
- [高级用户组]:尝试将相关用户帐户添加到具有一些有限管理权限的组中,然后尝试应用程序是否可以运行
- [作为工具运行]:可能是解决您问题的最佳方法(来源)。它允许以您定义的管理员权限运行某些特定应用程序,而无需用户成为管理员(见下图)
希望这会有所帮助。