问题:
我们有一个站点,其中混合了 Windows 2000 和 Windows XP 计算机。这些计算机目前具有具有管理员权限的用户帐户,可以安装授权/未授权的软件。我们希望限制此类活动,以便
- 用户可以安装/卸载预先批准列表中的软件。
- 用户可以不受限制地访问所有其他系统资源(除软件安装之外的所有管理员权限)。
我正在寻找一种使用任何 MS 或第三方工具来实现此目的的方法。欢迎提出所有建议。
编辑:鉴于这些挑战,我们有何建议?
答案1
如果您确实需要这样做(...),您可能需要研究 Windows 的软件限制策略:http://technet.microsoft.com/en-us/library/bb457006.aspx
[开始咆哮]
不过说实话,这看起来需要做很多工作,但在我看来,这似乎特别容易规避,因为用户最终(正如你所指出的)会不受限制地访问。
[结束咆哮]
无论如何,以下是来自该链接的一些信息:
软件限制策略是 Microsoft 安全和管理策略的一部分,旨在帮助企业提高计算机的可靠性、完整性和可管理性。软件限制策略是 Windows XP 和 Windows Server 2003 中的许多新管理功能之一。
本文深入介绍了如何使用软件限制策略来执行以下操作:
- 对抗病毒
- 规定哪些 ActiveX 控件可以下载
- 仅运行经过数字签名的脚本
- 强制只在系统计算机上安装批准的软件
- 锁定机器
答案2
用户可以安装/卸载预先批准列表中的软件。
我认为 Windows 在组策略中有“软件限制策略”或类似的功能。
用户可以不受限制地访问所有其他系统资源(除软件安装之外的所有管理员权限)。
只需 10 分钟即可安装任何软件。(事实上,对于大部分可用软件,您无需安装任何东西 - 只需解压缩并双击 .exe 即可)
试图限制管理员是一个非常糟糕的主意。
答案3
使用SRP。使用标签选项仅允许他们安装和运行的软件。我还会考虑将他们从管理员组中删除,而是将帐户放在高级用户组中。对于不想被从管理员组中删除的人,我会特别小心他们被允许运行什么。