Kyl*_*and 6 security permissions group-policy lockdown
我知道我们都在努力在保持用户工作站锁定但仍然可用之间取得平衡。我有一个用户经常安装工具栏、游戏、恶意软件等的客户端有一个真正的问题。我真的希望能够剥夺他们的本地管理权限(管理也是如此)。问题是它们依赖于少数编写不佳的应用程序,这些应用程序需要本地管理员权限才能正常运行。在任何人提出建议之前,摆脱这些应用程序是不可能的。
我意识到我可以使用 runas 命令为这些应用程序创建自定义快捷方式并保存本地管理员凭据。这个解决方案的问题是:
我想要的是安装一些应用程序或应用组策略,允许我指定应该允许提升本地配置文件权限的应用程序。有这样的解决方案吗?
其他人如何处理锁定工作站并仍然支持遗留/编写不佳的软件?
一个软件包实际上需要管理员权限的情况很少见,而是写入管理员通常有权访问而其他用户没有的注册表或硬盘区域。这听起来像是吹毛求疵,但它是解决这个问题的基础。
您可以使用进程监视器 编辑:感谢来自 Microsoft 的grawity工具来监视应用程序正在执行的操作,并将这些区域的权限分配给用户。http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx
然后,您可以使用组策略将安全 ACL 应用于文件和文件夹以及注册表的一部分。此问题的一个常见原因是程序写入 c:\program 文件中的任一/或其安装文件夹,或其在 HKey 本地机器下的机器注册表上的全局设置。
| 归档时间: |
|
| 查看次数: |
4091 次 |
| 最近记录: |