Вопросы Теги

Предотвратите полномочия местных органов власти для наших пользователей домена

Я ищу возможные решения предотвратить полномочия местных органов власти для наших пользователей домена. В настоящее время мы обеспечиваем наши полномочия местных органов власти пользователей домена избежать проблем с различными приложениями. Некоторые приложения не будут запускаться или работать правильно без полномочий локального администратора.

Теперь я интересуюсь текущим состоянием технологий или лучших практик избегать тех видов разрешения. Например, мы хотели бы ограничить локальные полномочия и запретить установку и выполнение ненадежных приложений.

Я нашел политики Ограничения программного обеспечения и AppLocker, а также MDOP от Microsoft.

Какие технологии и лучшие практики Вы могли рекомендовать?

3
задан 7 November 2015 в 19:22
2 ответа

Используйте processmonitor и разрешайте права только там, где они нужны. (также известный как куст реестра файлов и папка с файлами). Это можно сделать через gpo, чтобы предоставить такие разрешения. Сделал это для acad в примере, и теперь это хорошо работает без прав администратора.

Имейте в виду, что это долгий процесс.

Отредактировано: Протестируйте App-V, если вы тоже можете, приложение запускается как будто как администратор так как все это предварительно кэшировано. Таким образом, как если бы он писал в c: \ windows, он перенаправлялся в свой кеш.

2
ответ дан 3 December 2019 в 06:32

То, что сказал ягмонт555. Мы использовали это -- это дает административные привилегии процессам, а не пользователям. (Меня в первую очередь просили предоставить эти привилегии инсталляторам программного обеспечения).) До этого мы экспериментировали над тем, какие каталоги/регистрационные ключи/ и т.д. должны быть доступны для записи пользователями для запуска конкретных программ, что обычно (но не всегда) срабатывало.

Я скажу, однако, что лучший способ помешать пользователям устанавливать crud на свои рабочие станции - это что-то вроде:

$AcceptableAdmins = "YourDomain\Domain Admins", "YourDomain\Someuser", "YourDomain\Someotheruser"

$members = net localgroup administrators | where {$_ -notmatch "command completed successfully"} | where { $AcceptableAdmins -notcontains $_}

foreach($member in $members)
{
net localgroup "power users" $member /add
net localgroup administrators $member /del
}

(я подозреваю, что это не то, что вы искали, но, по моему опыту, это наиболее эффективно).

1
ответ дан 3 December 2019 в 06:32

Теги

Похожие вопросы