我们有 AD 和 Windows 10,我们有一些应用程序由于未知原因需要管理员权限。有没有其他选项可以将本地管理员权限授予用户?好的做法?我无法更改软件。
答案1
相关应用程序可能不需要完全管理员权限。具体情况因应用程序而异,但通常只需要对应用程序存储设置的正常写保护区域进行写访问。Programs Files、Program Files(x86)、ProgramData%APPNAME% 或注册表配置单元中的某个位置。
确定应用程序使用管理权限访问的位置后,请在没有权限的情况下重新测试,您将看到失败的位置。当您比较两次测试的输出时,您可以在 AD 中为该应用程序创建一个安全组,并由该组将这些权限应用于这些位置。
授予应用程序管理员权限而不是用户权限的问题在于,如果应用程序存在安全故障,那么这些权限可以应用于由故障分叉的进程。
安全组的最佳做法是记录创建者以及查询安全团队授权的票号,其中详细说明了哪些位置需要访问权限、访问权限级别以及访问权限原因。您需要记录下来,以便在发布新版本的应用程序时评估是否仍然需要这些设置。
如果您能证明需要这些权限的软件存在故障,可能会危及公司的安全,则可以更改软件。然后,您可以联系应用程序的开发人员,让他们更新应用程序,或者找到其他解决方案。
当公司风险官员签署允许超出您作为系统管理员愿意添加的权限的协议时,您附加到安全组描述的票据可以包含所有这些信息和文档。