Вопросы Теги

Пользователи как локальные администраторы на машинах Windows

Что, которые поиск, можно быть директивой LimitExcept Apache. Что-то как:


  Require valid-user

Так, чтобы пользователь/передача был необходим для чего-либо еще, чем ПОЛУЧИТЬ запрос. Но я не знаю Подвижный и не знаю как hg push сделан. Если это будет запрос POST, то это будет в порядке, но может быть, что POST также требуется, чтобы вытягивать.

3
задан 21 February 2015 в 17:48
7 ответов

Я работал в исследовательской организации приблизительно с 120 людьми. Только приблизительно 30 могли сделать их работу с заблокированным вниз машина, другие 90 были исследователями или технологами, которые должны были использовать неясное программное обеспечение, и многие из них должны были работать в удаленных местоположениях, где единственная справка, которую мы могли дать им, была по телефону (т.е. никакой Удаленный рабочий стол к их ноутбуку, чтобы заставить что-то работать).

В то время как это верно, что "Самое достойное современное программное обеспечение больше не требует прав администратора", мы должны были иметь дело с большим количеством не совсем достойных приложений, для которых был нужен администратор, чтобы установить и работать. Часть его была программным обеспечением, записанным внутренний или другими исследователями и аспирантами, который был необходим из-за его научной точности, не качества программного обеспечения или его соблюдения лучших практик.

Часть его была программным обеспечением, используемым для сбора данных и управления процессом, которое было предназначено для работы выделенной машины в промышленной установке. В той установке, даже если кто-то выходит из приложения управления, они должны сразу запустить его снова, потому что некоторый большой, опасный элемент оборудования зависит от него. Но когда те приложения использовались в нашей среде, они не были единственной вещью, работающей на том ПК.

У нас также была корпоративная культура, где что-либо, что должны были сделать ученые, было в порядке, и IT должен был заставить ее работать. Назад, когда это был Win3.1, 95, 98 это не болтало, но как только мы вошли в Рабочую станцию NT4, мы должны были начать иметь дело с Администратором или нет.

Мы (едва) имели дело с ситуацией с помощью множества обходных решений, объединенных по-другому для каждой ситуации:

  • Для приложений управления производственным процессом, используемых в наших лабораториях, обычно работал RunAs. Старший techs имел бы pw для учетной записи с локальными правами администратора, и они будут теми, которые запустили приложения для других технологов.

  • Для некоторых ученых мы сделали им локальные отчеты на их ПК, которые имели доступ администратора. Если бы они должны были установить что-то, то они могли бы зарегистрироваться из сети, войти в систему локально и установка, то выйти из системы снова и въехать задним ходом к сети. Или они использовали бы RunAs. Ни одному из них не понравилось делать, это, но почти каждые из них уничтожило компьютер до такой степени, что ему была нужна переподготовка, таким образом, они выносят его.

  • Ни одна из этих неясных программ не могла быть установлена с Групповой политикой, но мы провели много времени, создав фантомные изображения, и данные проверки были сохранены так, чтобы это не занимало время, чтобы вытереть и переустановить машину, которая имела проблемы.

  • В некоторых случаях мы помещаем машины с проблематичным программным обеспечением на ограниченном VLAN, но, как упомянуто, проблема с этим состоит в том, что они часто должны были получать доступ к основной корпоративной сети, даже когда они работают как администратор

  • Для одного отдела мы дали всем 2 машины некоторое время - один заблокированный вниз, один с доступом администратора. Это продлилось год, пока они все не устали от не наличия всех их инструментов на их "основном" офисе ПК.

  • Для некоторых ученых, которым только был нужен доступ администратора время от времени, мы создали учетные записи, которые имели права администратора, но с сумасшедшими длинными паролями. Когда им был нужен доступ, мы скажем им пароль, зная, что они никогда не помнили бы или даже потрудились бы записывать его.

  • Мы начинали смотреть на VMs, когда я уехал - дают им VMware Workstation или Плеер и пару другого VMs, к которому у них был доступ администратора. Это - то, что я сфокусировал бы на том, если бы я был когда-нибудь в аналогичной ситуации снова.

5
ответ дан 3 December 2019 в 04:43

Для этого типа ситуации я пошел бы одним из двух путей:

  1. Для тех, которые делают большое переделывание различных программ, установите рабочую станцию VMware и имейте репозиторий основного VMs, они могут осуществить сеть и запустить по мере необходимости.

  2. Этот второй является немного более дорогим, но я пошел бы с чем-то как VMware ESX + Виртуальный Центр* так, чтобы можно было создать основные шаблоны, которые они могут развернуть. Предоставление им миленькая песочница для проигрывания в с полными правами администратора. Разрешение им создать и уничтожить vms по мере необходимости. Это только действительно было бы разумно, если бы все 70 человек должны были играть с разными вещами все время. Это также позволило бы им создать снимки машины, прежде чем они установят что-то или настроят установку, таким образом, они могут быстро откатывать, также она позволила бы Вам предоставлять им доступ к большему множеству Ose, не имея необходимость бездельничать с их повседневной машиной.

*или любая сопоставимая virtulization технология, которую Вы знаете/можете, предоставляет - Xen, Hyper-V, KVM, и т.д.

5
ответ дан 3 December 2019 в 04:43
  • 1
    +1, мне нравится идея использовать VMs в этом случае. Даже основной старый Виртуальный ПК должен так задание. –  Maximus Minimus 21 November 2009 в 13:33

Две точки

  1. Самое достойное современное программное обеспечение больше не требует, чтобы права администратора установили (ни если это). Я работаю над системой, где у меня нет прав администратора, и я установил, среди прочего, Firefox, Thunderbird, OpenOffice.org без проблем. Так попытайтесь узнать, нужны ли людям действительно права администратора.
  2. Даже если они делают, считайте предоставление им учетной записью w/o права администратора и обеспечение пароля для возрастания (использование Выполнения Как) администратору при необходимости. Это сохраняет окно воздействия маленьким. Мог бы потребовать некоторого образования, но лучше, чем всегда выполнение как администратор.
3
ответ дан 3 December 2019 в 04:43
  • 1
    Спасибо за комментарии. Unfortnately, эти приложения почти достойны и современны.:-) Многие из них создаются сообществом любителей в операционных системах лет, иногда даже требуя доступа к lmhosts или файлу win.ini!! –  CesarGon 21 November 2009 в 04:56
  • 2
    +1 для отдельного администраторского счета на установку и нормальный счет на ежедневную работу –  Oskar Duveborn 21 November 2009 в 10:41

Мы делаем пользователям два отчета, учетную запись обычного пользователя и административную учетную запись. Вы не можете получить доступ к Интернету через IE или электронной почте с помощью административной учетной записи для воспрепятствования использования его.

Это решение работает действительно хорошо, за исключением нескольких экзотических приложений.

1
ответ дан 3 December 2019 в 04:43

2 простых предложения:

  1. GPO
  2. PowerUser (LocalGroup)

Можно настроить оценки GPOS определенные потребности. Это - то, что я сделал бы...

0
ответ дан 3 December 2019 в 04:43
  • 1
    Как я использовал бы GPO? Я могу предоставить определенным пользовательским правам установить программное обеспечение локально? Можно ли предоставить мне некоторую подробную информацию?Спасибо. –  CesarGon 21 November 2009 в 04:57

С 70 машинами я надеюсь, что у Вас есть установка WDS так, чтобы можно было быстро повторно отобразить машины к стандартной установке.

В зависимости от уровня поддержки приложений необходимо обеспечить, это могло бы стоить предоставить Административный доступ пользователям, но сделать политику поддержки для тех который имеют Доступ администратора "Перезагрузка и нажать F12, чтобы повторно отобразить машину назад к хорошему состоянию".

0
ответ дан 3 December 2019 в 04:43
  • 1
    Спасибо за Ваши комментарии. Мое основное беспокойство не является пользователями, которые могли бы получить права администратора к их машинам, но всем другим. Если вирус представлен в сети, например, я мог бы повторно отобразить машину легко (если that' s наша политика поддержки с ними), но переобработка изображений файловых серверов была бы чем-то более серьезным! –  CesarGon 21 November 2009 в 05:22
  • 2
    Да, вирусное распространение всегда является проблемой, но принимающий you' ре, актуальное на Ваших патчах на файловых серверах, it' s не настолько плохо, как это звучит. Можно ожидать, что вирус на клиенте ПК заразит содержание на любых файловых серверах, в которые это может записать в других надежд, откроет его и заразит себя, но сам файловый сервер won' t быть зараженным, если Вы не открываете файлы как Администратор на сервере (или как Администратор домена ни на какой машине). Don' t выполненный как Администратор домена, если Вы не имеете в виду это, и don' t используют серверы в качестве рабочего стола - только входят в систему, делают обслуживание, в котором Вы нуждаетесь! –  natacado 21 November 2009 в 07:05
  1. VLAN машины та потребность права администратора.
  2. Каждой новой машине нужен раздел восстановления (Acronis True Image делает это). Пользователи могут повторно отобразить при необходимости.
  3. Используйте Citrix для обработки корпоративных требований к программному обеспечению.
0
ответ дан 3 December 2019 в 04:43

Теги

Похожие вопросы