服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何locking工作站,并仍然支持需要本地pipe理员权限的传统应用程序?
Intereting Posts
无法查看networking上的Ubuntu PC,无法访问Apache,但可以ping和使用samba共享。 发送成千上万的电子邮件给员工(交换) Exchange 2010将OWA httpredirect到https(正在工作,升级SSL证书后停止) Robocopy复制文件夹,但不复制文件 PHP的FPM或Nginx的封顶? 公共文件夹当我们知道他们不是时,显示为空的特定用户 MYSQLsorting规则和。 有什么不同? Linux机器是否有一个体面的统一在线备份解决scheme? FreeRadius3 VPN:来自不同来源的不同广告组 如何使用Robocopy排除所选文件夹下的所有子文件夹? 如何pipe理Windows Server Backup使用的存储? 使用版本控制和生命周期pipe理进行S3备份,以防止恶意删除备份? 如何configurationpostfix / dovecot设置拒绝某些邮件 发生入侵时将networking密码分段重置 为每个用户创build一个tmp目录

如何locking工作站,并仍然支持需要本地pipe理员权限的传统应用程序?

我知道我们都努力在保持我们用户的工作站被locking但仍然可用之间取得平衡。 我有一个用户不断安装工具栏,游戏,恶意软件等的客户真正的问题,我真的希望能够拿走他们的本地pipe理权(pipe理层也是如此)。 问题是他们依靠一些写得不好的应用程序,需要本地pipe理员权限才能正常运行。 在有人build议之前,不可能摆脱这些应用程序。

我意识到我可以使用runas命令为这些应用程序创build自定义快捷方式,并保存本地pipe理员凭据。 这个解决scheme的问题是:

  • 我必须为每个用户手动提供本地pipe理员凭据。
  • 某些程序依赖本地用户configuration文件中的数据,如果“欺骗”到认为它们正在ComputerName \ Administratorconfiguration文件下运行,则无法正常运行。

我所喜欢的是安装一些应用程序或应用组策略,允许我指定应允许提升本地configuration文件权限的应用程序。 有没有像这样的解决scheme?

其他人如何处理locking工作站,仍然支持遗留/编写不当的软件?

软件包实际上需要pipe理权限的情况很less,而是写入registry或硬盘的一个区域,pipe理员通常可以访问而其他用户则不需要。 这可能听起来像挑选挑剔,但这是解决这个问题的根本。

您可以使用进程监视器 编辑:来自Microsoft的感谢grawity工具来监视应用程序正在执行的操作,并将这些区域的权限分配给用户。 http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

然后,您可以使用组策略将安全ACL应用于文件和文件夹以及registry的某些部分。 这个问题的一个常见原因是程序写入到c:\ program files中的安装文件夹,或者HKey Local Machine下的机器registry中的全局设置。

您可能会从这个主题的其他线程中获取一些有用的提示: 在XP上需要pipe理员权限的传统应用程序

然后,您应该能够使用GPO设置必要的文件系统和registry权限。

当find旧的应用程序工作时,我发现Process Monitor和Microsoft Application Compatibility Toolkit很有用。 还有LUA Buglight ,但我没有尝试过。

至于locking,我会给予那些知道自己在做什么的用户的本地pipe理权限,而不会“意外”地摧毁东西。 (这只是我的意见)

我们发明了两种支持不具有pipe理权限的用户的好方法:

1 。 使用“[user] -adm”帐户创build一个组,并为可能需要访问的高级用户创build它们。 然后让账户活动几个小时,当他们呼吁需要的权利。 他们可以右键单击并使用“ RUN AS ”以提升权限进行安装。

2 。 我们创build了一个在启动时加载batch file的计划任务。 如果用户在桌面上打开了一个快捷方式,它会运行batch file(已经在内存中运行,以避免打开txt密码)并将其添加到本地pipe理员组。 一封电子邮件会自动发送到服务台,一个启动的计时器只会保持1小时的活动状态。 帮助台票据跟踪使用情况,因此会logging任何滥用行为。 这一个工作得很好,但上面的第一个选项是更支持。

我非常不同意永远不要让本地pipe理员访问。 如果我采用这种做法,我会浪费大量的时间。 但是,组织规模越大,就越难衡量对本地pipe理员的信任程度。 考虑采用“焦土”政策,授予当地pipe理员签署的表格,并附上授权书。 所说的政策是“如果你打破了你自己,我们会花几分钟的时间来看它,然后这是一个擦拭和重新加载。

如果真的认为这些应用程序需要pipe理员才能工作,我不认为你真的知道应用程序是如何工作的。 产品供应商会告诉你这个,因为它是一个简单的警察,但真的几乎总是不正确的。 我在DOD环境下工作,我们从来没有给他们的系统任何pipe理权限,因为总是有办法绕过它。 我通常最终使用了许多人提到的Process Monito ,但是您也应该阅读Aaron Margosis的“Non-Admin”WebLog ,它致力于如何克服这些问题,并始终使用最低权限的帐户。 我还build议您听听来自Microsoft Technet Radio的最小用户访问(LUA)播客 ,因为他们用Aaron Margosis提到了这个话题。 Aaron似乎有一个名为LUA Buglight 2.0的新工具,它可以帮助我们克服应用程序的需求,但老实说我从来没有使用它。

最less用户访问(LUA)

你也可以考虑VMware的ThinApp(以前称为Thinstall)

http://www.thinstall.com/

不知道这是否可以解决这个特定的问题,但它可能能够。

虚拟PC或VMWare可能是一个解决scheme,取决于具体情况。

大多数无法以标准用户身份运行的应用程序因文件registry访问被拒绝而失败。

在Windows XP上,您可以ACL访问程序需要访问的各种文件夹和registry位置,以便标准用户可以访问它们。

即给每个人完全控制 

c:\Program Files\World of Warcraft HLKM\Software\Green Planet\Project Quantum

如果他们试图注册一个COM对象或一个文件扩展名,可以确保它被注册一次,然后也完全控制该hive分支。 例如: 

 HKLM\Software\Classes\GreenPlanet.ProjectQuantum.1 HKLM\Software\Classes\CLSID\{9785B48F-520D-4179-8DEE-A4C7DDEBAB4F}

如果您的用户正在运行Windows Vista,那么他们有更大的机会成为标准用户。 微软向后倾向于让应用程序以标准用户身份运行,当他们在Windows XP上失败时。

它的文件和registry虚拟化非常有用,并且围绕那些认为需要写入机器范围内的应用程序开展工作。

真正的答案是修复应用程序。 世界上几乎没有应用程序需要写入机器通用位置。 这些应用程序应该由作者修复。

如果您确实find了一个或两个地球上有合理理由写入常用地点的应用程序,并且您不希望用户以pipe理员身份运行,则您可以ACL访问他们的位置。

是否有可能在terminal会话中运行应用程序? 这样,您可以在TS上授予“本地pipe理员”权限,但不能在实际的本地计算机上授予。

-JFV