我正在寻找可能的解决方案来阻止我们的域用户获得本地管理权限。目前,我们为域用户提供本地管理权限,以避免不同应用程序出现问题。如果没有本地管理员权限,某些应用程序将无法启动或正常运行。
现在我对避免此类权限的技术现状或最佳实践很感兴趣。例如,我们希望限制本地权限并禁止安装和执行不受信任的应用程序。
我发现了微软的软件限制策略和 AppLocker 以及 MDOP。
您可以推荐哪些技术和最佳实践?
答案1
使用 processmonitor 并仅在需要时允许权限。(又名文件注册表配置单元和文件夹)这可以通过 gpo 来完成,以授予这些权限。例如,对 acad 执行了此操作,现在无需管理员权限即可正常工作。
请注意这是一个漫长的过程。
已编辑:如果可以,请测试 App-V,应用程序以管理员权限运行,因为它已预先缓存。因此,如果在 c:\windows 中写入,它会在其缓存中重定向。
答案2
yagmoth555 说的。我们使用这——它向进程而不是用户授予管理权限。(我主要被要求将这些权限授予软件安装程序。)在此之前,我们试验了哪些目录/注册表项/等需要由用户写入才能运行特定软件,这通常(但并非总是)有效。
不过,我要说的是,防止用户在工作站上安装垃圾的最佳方法是:
$AcceptableAdmins = "YourDomain\Domain Admins", "YourDomain\Someuser", "YourDomain\Someotheruser"
$members = net localgroup administrators | where {$_ -notmatch "command completed successfully"} | where { $AcceptableAdmins -notcontains $_}
foreach($member in $members)
{
net localgroup "power users" $member /add
net localgroup administrators $member /del
}
(我怀疑这不是您想要的,但根据我的经验,这是最有效的。)