Что, которые поиск, можно быть директивой LimitExcept Apache. Что-то как:
Require valid-user
Так, чтобы пользователь/передача был необходим для чего-либо еще, чем ПОЛУЧИТЬ запрос. Но я не знаю Подвижный и не знаю как hg push
сделан. Если это будет запрос POST, то это будет в порядке, но может быть, что POST также требуется, чтобы вытягивать.
Я работал в исследовательской организации приблизительно с 120 людьми. Только приблизительно 30 могли сделать их работу с заблокированным вниз машина, другие 90 были исследователями или технологами, которые должны были использовать неясное программное обеспечение, и многие из них должны были работать в удаленных местоположениях, где единственная справка, которую мы могли дать им, была по телефону (т.е. никакой Удаленный рабочий стол к их ноутбуку, чтобы заставить что-то работать).
В то время как это верно, что "Самое достойное современное программное обеспечение больше не требует прав администратора", мы должны были иметь дело с большим количеством не совсем достойных приложений, для которых был нужен администратор, чтобы установить и работать. Часть его была программным обеспечением, записанным внутренний или другими исследователями и аспирантами, который был необходим из-за его научной точности, не качества программного обеспечения или его соблюдения лучших практик.
Часть его была программным обеспечением, используемым для сбора данных и управления процессом, которое было предназначено для работы выделенной машины в промышленной установке. В той установке, даже если кто-то выходит из приложения управления, они должны сразу запустить его снова, потому что некоторый большой, опасный элемент оборудования зависит от него. Но когда те приложения использовались в нашей среде, они не были единственной вещью, работающей на том ПК.
У нас также была корпоративная культура, где что-либо, что должны были сделать ученые, было в порядке, и IT должен был заставить ее работать. Назад, когда это был Win3.1, 95, 98 это не болтало, но как только мы вошли в Рабочую станцию NT4, мы должны были начать иметь дело с Администратором или нет.
Мы (едва) имели дело с ситуацией с помощью множества обходных решений, объединенных по-другому для каждой ситуации:
Для приложений управления производственным процессом, используемых в наших лабораториях, обычно работал RunAs. Старший techs имел бы pw для учетной записи с локальными правами администратора, и они будут теми, которые запустили приложения для других технологов.
Для некоторых ученых мы сделали им локальные отчеты на их ПК, которые имели доступ администратора. Если бы они должны были установить что-то, то они могли бы зарегистрироваться из сети, войти в систему локально и установка, то выйти из системы снова и въехать задним ходом к сети. Или они использовали бы RunAs. Ни одному из них не понравилось делать, это, но почти каждые из них уничтожило компьютер до такой степени, что ему была нужна переподготовка, таким образом, они выносят его.
Ни одна из этих неясных программ не могла быть установлена с Групповой политикой, но мы провели много времени, создав фантомные изображения, и данные проверки были сохранены так, чтобы это не занимало время, чтобы вытереть и переустановить машину, которая имела проблемы.
В некоторых случаях мы помещаем машины с проблематичным программным обеспечением на ограниченном VLAN, но, как упомянуто, проблема с этим состоит в том, что они часто должны были получать доступ к основной корпоративной сети, даже когда они работают как администратор
Для одного отдела мы дали всем 2 машины некоторое время - один заблокированный вниз, один с доступом администратора. Это продлилось год, пока они все не устали от не наличия всех их инструментов на их "основном" офисе ПК.
Для некоторых ученых, которым только был нужен доступ администратора время от времени, мы создали учетные записи, которые имели права администратора, но с сумасшедшими длинными паролями. Когда им был нужен доступ, мы скажем им пароль, зная, что они никогда не помнили бы или даже потрудились бы записывать его.
Мы начинали смотреть на VMs, когда я уехал - дают им VMware Workstation или Плеер и пару другого VMs, к которому у них был доступ администратора. Это - то, что я сфокусировал бы на том, если бы я был когда-нибудь в аналогичной ситуации снова.
Для этого типа ситуации я пошел бы одним из двух путей:
Для тех, которые делают большое переделывание различных программ, установите рабочую станцию VMware и имейте репозиторий основного VMs, они могут осуществить сеть и запустить по мере необходимости.
Этот второй является немного более дорогим, но я пошел бы с чем-то как VMware ESX + Виртуальный Центр* так, чтобы можно было создать основные шаблоны, которые они могут развернуть. Предоставление им миленькая песочница для проигрывания в с полными правами администратора. Разрешение им создать и уничтожить vms по мере необходимости. Это только действительно было бы разумно, если бы все 70 человек должны были играть с разными вещами все время. Это также позволило бы им создать снимки машины, прежде чем они установят что-то или настроят установку, таким образом, они могут быстро откатывать, также она позволила бы Вам предоставлять им доступ к большему множеству Ose, не имея необходимость бездельничать с их повседневной машиной.
*или любая сопоставимая virtulization технология, которую Вы знаете/можете, предоставляет - Xen, Hyper-V, KVM, и т.д.
Две точки
Мы делаем пользователям два отчета, учетную запись обычного пользователя и административную учетную запись. Вы не можете получить доступ к Интернету через IE или электронной почте с помощью административной учетной записи для воспрепятствования использования его.
Это решение работает действительно хорошо, за исключением нескольких экзотических приложений.
2 простых предложения:
Можно настроить оценки GPOS определенные потребности. Это - то, что я сделал бы...
С 70 машинами я надеюсь, что у Вас есть установка WDS так, чтобы можно было быстро повторно отобразить машины к стандартной установке.
В зависимости от уровня поддержки приложений необходимо обеспечить, это могло бы стоить предоставить Административный доступ пользователям, но сделать политику поддержки для тех который имеют Доступ администратора "Перезагрузка и нажать F12, чтобы повторно отобразить машину назад к хорошему состоянию".