服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 用户作为Windows机器上的本地pipe理员
Intereting Posts
IBM ServeRAID 4mx控制器可以在非IBM服务器上工作吗? GNU屏幕或tmux更稳定,以保持在服务器上运行? 如何知道MS Forefront TMG会话何时到期 如何使用nginx PAM模块? 没有人可以访问我的网站的页面 我可以在脚本中创build和操作unix“屏幕”吗? 澄清netcat的结果 负载平衡Bind9与Keepalived和LVS 厨师分配弹性IP到实例 用不同的IP在IIS 6上的多个网站。 一个网站不会回应 CentOS Live CD无法启动 从服务器1发送的电子邮件从服务器2到达目的地 执行多个单独的MySQL查询时非常慢 傀儡不签署证书或获取新的请求 脚本在超V图像上运行Windows更新

用户作为Windows机器上的本地pipe理员

我负责工作的70多台电脑的基于Windows的networking。 服务器是Windows Server 2008,工作站是Windows Vista和Windows XP。

大多数用户是研究人员,他们中的一些人有非常特殊的需求,不断安装他们从网上获得的新小应用程序并进行实验。 他们已经要求我们(IT部门)将他们的本地pipe理员权限授予他们的机器,但我不确定这是否是一个好主意。

优点:用户可以根据自己的意愿安装应用程序,并可以自由地进行试验,使工作变得更加简单。 IT人员每次需要安装新应用程序时都不会有太多的压力帮助他们。

缺点:用户会安装谁知道什么,没有任何控制,并可能引入不兼容的软件,甚至恶意软件进入networking。

我曾想过授予他们本地pipe理员权限,但将他们的计算机放置在一个孤立的networking中。 但是,我们仍然需要解决与域服务器以及文件和数据库服务器的连接问题。

任何想法如何解决这个问题? 谢谢。

我在一个约120人的研究机构工作。 只有大约30人可以使用locking机器工作,另外90人是研究人员或技术人员,他们必须使用隐蔽的软件,而且他们中的许多人必须在偏远的地方工作,我们可以通过电话向他们提供唯一的帮助。没有远程桌面到他们的笔记本电脑,使一些工作)。

虽然“大多数体面的现代软件不再需要pipe理权限”是真实的,但是我们不得不面对很多不太好的,需要pipe理员才能安装和运行的应用程序。 其中一些是由内部或其他研究人员和研究生编写的软件,因为其科学的准确性,而不是软件的质量或遵守最佳实践。

其中一些是用于数据采集和过程控制的软件,旨在在工业环境中的专用机器上运行。 在这种情况下,即使有人离开了控制应用程序,他们必须立即重新启动它,因为一些大的,危险的设备依赖于它。 但是,当这些应用程序在我们的环境中使用时,它们不是在PC上运行的唯一的东西。

我们还有一个企业文化,科学家需要做的任何事情都可以,IT部门必须使其工作。 当它是Win3.1,95,98时,它并没有自动执行,但是当我们进入NT4工作站时,我们不得不开始和Admin进行交互。

我们(几乎没有)使用各种解决方法来处理这种情况,对于每一种情况都有不同的结合:

  • 对于我们实验室使用的工业控制应用程序,RunAs通常工作。 高级技术人员将拥有本地pipe理员权限的帐户,他们将为其他技术人员启动应用程序。

  • 对于一些科学家,我们给了他们的个人电脑上的pipe理员访问本地帐户。 如果他们需要安装某些东西,他们可以从networking注销,在本地login并安装,然后再次注销并返回到networking。 或者他们会使用RunAs。 他们都不喜欢这样做,但几乎每个人都杀了一台电脑,以至于需要重新升级,所以他们忍受了。

  • 这些晦涩难懂的程序都不能与组策略一起安装,但是我们花了很多时间来构build鬼图像,并确保数据已经备份,因此擦除和重新安装有问题的机器不需要太多时间。

  • 在某些情况下,我们把有问题的软件的机器放在受限制的VLAN上,但是正如前面提到的那样,问题是他们经常需要访问主要的公司networking,即使他们是以pipe理员身份运行的

  • 对于一个部门,我们给了每个人两台机器 – 一个locking,一个pipe理员访问。 持续了一年,直到他们都厌倦了在他们的“主”办公室个人电脑上没有所有的工具。

  • 对于一段时间只需要访问pipe理员权限的科学家来说,我们会设置拥有pipe理员权限但拥有长密码的账户。 当他们需要访问时,我们会告诉他们密码,知道他们永远不会记得,甚至会把它写下来。

  • 当我离开时,我们开始看虚拟机 – 给他们VMWare工作站或播放器和他们有pipe理员访问的几个不同的虚拟机。 如果我再次遇到类似的情况,这就是我所关注的。

对于这种情况,我会select以下两种方式之一:

  1. 对于那些对不同程序进行修补的人来说,安装VMWare工作站,并拥有一个基本虚拟机的存储库,可以根据需要启动networking并启动。

  2. 第二个有点贵,但是我会用VMWare ESX + Virtual Center *这样的东西,这样就可以创build可以部署的基本模板。 给他们一个很好的小沙箱玩充分的pipe理权限。 允许他们根据需要创build和销毁vms。 如果所有的70个人都需要一直玩不同的东西,那才是真正合理的。 这也可以让他们在安装或调整设置之前让机器快照,这样他们可以快速回滚,也可以让他们访问更多种类的操作系统,而不必烦恼日复一日的机器。

*或者您知道/可以承受的任何类似的虚拟化技术 – Xen,Hyper-V,KVM等

两点

  1. 大多数体面的现代软件不再需要pipe理员权限来安装(也不应该)。 我在一个没有pipe理员权限的系统上工作,我已经安装了Firefox,Thunderbird,OpenOffice.org等。 所以试着找出人们是否真的需要pipe理员权限。
  2. 即使他们这样做,考虑给他们一个没有pipe理员权限的帐户,并提供一个密码,以升级(使用运行方式)pipe理员在绝对必要时。 这使得曝光的窗口很小。 可能需要一些教育,但总是作为pipe理员运行。

我们给用户两个帐户,一个普通用户帐户和一个pipe理帐户。 您不能通过IE或电子邮件通过pipe理帐户访问互联网,以阻止使用它。

这个解决scheme工作得很好,除了一些外来的应用程序。

2个简单的build议:

  1. GPO
  2. PowerUser(LocalGroup)

您可以根据您的具体需求自定义GPO。 那就是我要做的

有70台机器,我希望你有WDS设置,以便您可以快速重新映像机器到一个标准的设置。

根据您需要提供的应用程序支持级别,可能需要为用户授予pipe理访问权限,但对于具有pipe理员访问权限的用户,请提供支持策略“重新启动并按F12将您的机器重新映像回到正常状态。

  1. VLAN需要pipe理员权限的机器。
  2. 每台新机器都需要一个恢复分区(Acronis True Image执行此操作)。 用户可以根据需要重新映像。
  3. 使用Citrix来处理企业软件需求。