我们出现了问题:
我们所有的开发人员在其计算机上都拥有完全的管理权限。
我通过 GPO 策略设置了一个名为“本地管理员”的组,该组包括所有域用户(开发人员),并授予他们在工作站上的管理员权限。如果成员通过 RDP 连接,他们可以更改其他用户配置文件。
例如,如果我使用我的域用户通过 RDP 进入 George 的计算机,我就可以删除 C:\Users\George 中的所有文件。
我担心这个安全风险并想找到解决方案。
答案1
如果您的开发人员确实需要本地管理员权限,那么您至少应该让每个开发人员成为他/她自己计算机的唯一管理员。
让所有用户成为所有机器的管理员是一个糟糕的设计,只会带来麻烦。