我正在寻找可能的解决scheme来防止我们的域用户的本地pipe理权限。 目前,我们为我们的域用户提供本地pipe理权限,以避免不同应用程序出现问题 没有本地pipe理员权限,某些应用程序将无法启动或正常工作
现在我对这些技术或最佳实践的现状感兴趣,以避免这些许可。 例如,我们想限制本地权限,禁止安装和执行不受信任的应用程序。
我已经find了Microsoft的软件限制策略和AppLocker以及MDOP。
你可以推荐哪些技术和最佳实践?
使用processmonitor,只在需要的地方使用。 (aka文件registryconfiguration单元和文件文件夹)这可以通过gpo来完成,以给予threestypes的权限。 那是为了acad的例子,现在工作好没有pipe理权。
请注意,这是一个漫长的过程。
编辑:testing了App-V,如果你也可以,应用程序像pipe理员权限一样运行,因为它都是预先caching的。 因此,如果它在c:\ windows中写入,它将被redirect到caching中。
什么yagmoth555说。 我们使用这个 – 它将pipe理权限授予进程,而不是用户。 (我主要被要求将这些权限授予软件安装者。)在我们做完之前,我们试验了哪些目录/registry项等等。 需要用户可以写入特定的软件来运行,通常(但不总是)工作。
但是,我会说,阻止用户在工作站上安装crud的最好方法就是:
$AcceptableAdmins = "YourDomain\Domain Admins", "YourDomain\Someuser", "YourDomain\Someotheruser" $members = net localgroup administrators | where {$_ -notmatch "command completed successfully"} | where { $AcceptableAdmins -notcontains $_} foreach($member in $members) { net localgroup "power users" $member /add net localgroup administrators $member /del } (我怀疑这不是你要找的东西,但根据我的经验,这是最有效的。)