Windows 中的安装权限管理

Windows 中的安装权限管理

问题:

我们有一个站点,其中混合了 Windows 2000 和 Windows XP 计算机。这些计算机目前具有具有管理员权限的用户帐户,可以安装授权/未授权的软件。我们希望限制此类活动,以便

  1. 用户可以安装/卸载预先批准列表中的软件。
  2. 用户可以不受限制地访问所有其他系统资源(除软件安装之外的所有管理员权限)。

我正在寻找一种使用任何 MS 或第三方工具来实现此目的的方法。欢迎提出所有建议。

编辑:鉴于这些挑战,我们有何建议?

答案1

如果您确实需要这样做(...),您可能需要研究 Windows 的软件限制策略:http://technet.microsoft.com/en-us/library/bb457006.aspx

[开始咆哮]
不过说实话,这看起来需要做很多工作,但在我看来,这似乎特别容易规避,因为用户最终(正如你所指出的)会不受限制地访问
[结束咆哮]

无论如何,以下是来自该链接的一些信息:

软件限制策略是 Microsoft 安全和管理策略的一部分,旨在帮助企业提高计算机的可靠性、完整性和可管理性。软件限制策略是 Windows XP 和 Windows Server 2003 中的许多新管理功能之一。

本文深入介绍了如何使用软件限制策略来执行以下操作:

  • 对抗病毒
  • 规定哪些 ActiveX 控件可以下载
  • 仅运行经过数字签名的脚本
  • 强制只在系统计算机上安装批准的软件
  • 锁定机器

答案2

用户可以安装/卸载预先批准列表中的软件。

我认为 Windows 在组策略中有“软件限制策略”或类似的功能。

用户可以不受限制地访问所有其他系统资源(除软件安装之外的所有管理员权限)。

只需 10 分钟即可安装任何软件。(事实上,对于大部分可用软件,您无需安装任何东西 - 只需解压缩并双击 .exe 即可)

试图限制管理员是一个非常糟糕的主意。

答案3

使用SRP。使用标签选项仅允许他们安装和运行的软件。我还会考虑将他们从管理员组中删除,而是将帐户放在高级用户组中。对于不想被从管理员组中删除的人,我会特别小心他们被允许运行什么。

相关内容