我知道我们都在努力在锁定用户工作站和保持其可用性之间取得平衡。我有一个客户,他的用户不断安装工具栏、游戏、恶意软件等,我真的很想剥夺他们的本地管理权限(管理层也是如此)。问题是他们依赖一些编写不当的应用程序,这些应用程序需要本地管理员权限才能正常运行。在有人提出建议之前,不可能摆脱这些应用程序。
我意识到我可以使用 runas 命令并保存本地管理员凭据来创建这些应用程序的自定义快捷方式。此解决方案的问题是:
- 我必须为每个用户手动提供本地管理员凭据。
- 某些程序依赖于本地用户配置文件中的数据,如果被“欺骗”认为它们在 ComputerName\Administrator 配置文件下运行,则无法正常运行。
我希望安装一些应用程序或应用组策略,以便我指定应允许提升本地配置文件权限的应用程序。有这样的解决方案吗?
其他人如何处理锁定工作站并仍然支持遗留/编写不良的软件?
答案1
软件包很少需要管理员权限,而是会写入注册表或硬盘中管理员通常可以访问而其他用户无法访问的区域。这听起来可能有点吹毛求疵,但这是解决这个问题的根本。
您可以使用该流程监视器 编辑:感谢gravity使用微软的工具来监控应用程序的运行情况,并将这些区域的权限分配给用户。http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
然后,您可以使用组策略将安全 ACL 应用于文件和文件夹以及注册表的某些部分。此问题的一个常见原因是程序写入了 c:\program files 中的安装文件夹,或写入了 HKey Local Machine 下的计算机注册表中的全局设置。
答案2
您可以从有关此主题的其他帖子中获得一些有用的提示:在 XP 上需要管理员权限的旧版应用程序
然后,您应该能够使用 GPO 设置必要的文件系统和注册表权限。
答案3
我发现进程监控和微软应用程序兼容性工具包在尝试让老旧应用程序工作时很有用。还有LUA 虫灯,但我还没尝试过。
至于锁定,我会将本地管理员权限提供给那些知道自己在做什么并且不会“意外”破坏东西的用户。(这只是我的意见)
答案4
我非常不同意永远不授予本地管理员访问权限。如果我采用这种做法,我会浪费大量时间。但是,随着组织规模的扩大,很难衡量对本地管理员的信任。考虑采用“焦土政策”来授予本地管理员访问权限,并附上一份签名表格。该政策是“如果你破坏了它,你就得自己承担责任,我们会花几分钟查看它,然后清除并重新加载。”