防止域用户获得本地管理权限

Question 1

使用 processmonitor 并仅在需要时允许权限。（又名文件注册表配置单元和文件夹）这可以通过 gpo 来完成，以授予这些权限。例如，对 acad 执行了此操作，现在无需管理员权限即可正常工作。

请注意这是一个漫长的过程。

已编辑：如果可以，请测试 App-V，应用程序以管理员权限运行，因为它已预先缓存。因此，如果在 c:\windows 中写入，它会在其缓存中重定向。

Answer

使用 processmonitor 并仅在需要时允许权限。（又名文件注册表配置单元和文件夹）这可以通过 gpo 来完成，以授予这些权限。例如，对 acad 执行了此操作，现在无需管理员权限即可正常工作。

请注意这是一个漫长的过程。

已编辑：如果可以，请测试 App-V，应用程序以管理员权限运行，因为它已预先缓存。因此，如果在 c:\windows 中写入，它会在其缓存中重定向。

Question 2

yagmoth555 说的。我们使用这——它向进程而不是用户授予管理权限。（我主要被要求将这些权限授予软件安装程序。）在此之前，我们试验了哪些目录/注册表项/等需要由用户写入才能运行特定软件，这通常（但并非总是）有效。

不过，我要说的是，防止用户在工作站上安装垃圾的最佳方法是：

$AcceptableAdmins = "YourDomain\Domain Admins", "YourDomain\Someuser", "YourDomain\Someotheruser"

$members = net localgroup administrators | where {$_ -notmatch "command completed successfully"} | where { $AcceptableAdmins -notcontains $_}

foreach($member in $members)
{
net localgroup "power users" $member /add
net localgroup administrators $member /del
}

（我怀疑这不是您想要的，但根据我的经验，这是最有效的。）

Answer

yagmoth555 说的。我们使用这——它向进程而不是用户授予管理权限。（我主要被要求将这些权限授予软件安装程序。）在此之前，我们试验了哪些目录/注册表项/等需要由用户写入才能运行特定软件，这通常（但并非总是）有效。

不过，我要说的是，防止用户在工作站上安装垃圾的最佳方法是：

$AcceptableAdmins = "YourDomain\Domain Admins", "YourDomain\Someuser", "YourDomain\Someotheruser"

$members = net localgroup administrators | where {$_ -notmatch "command completed successfully"} | where { $AcceptableAdmins -notcontains $_}

foreach($member in $members)
{
net localgroup "power users" $member /add
net localgroup administrators $member /del
}

（我怀疑这不是您想要的，但根据我的经验，这是最有效的。）

防止域用户获得本地管理权限

答案1

答案2

相关内容