Conceder privilégios de administrador aos usuários de domínio para determinada aplicação?

2

Eu não quero que os usuários de domínio instalem novos softwares, então tenho que tirar os privilégios de administrador. Mas certos aplicativos exigem privilégios de administrador para os usuários. Como posso classificar isso?

Posso criar um novo grupo local e conceder certos privilégios de administrador?

    
por Biligsaikhan 05.10.2017 / 08:47

2 respostas

0

Em última análise, depende de quão seguro você deseja seu ambiente. Para máxima segurança, um usuário nunca deve ter acesso administrativo. Assim, a melhor maneira de fazer isso é fazer com que um administrador execute o aplicativo elevando como administrador local (NÃO usando credenciais de administrador de domínio para impedir o despejo de senhas) e criando um serviço ou algo que é iniciado como administrador e depois executa o aplicativo . Dessa forma, você tem controle de granularidade e pode permitir que o aplicativo seja executado como administrador, sem conceder direitos de administrador ao usuário e expor-se a todos os tipos de ataques que exigem privilégios de administrador, como envenenamento por ARP MITM, NBT-NS spoofing e NTLMv2 MITM, despejo de senhas, etc.

Schtasks deve ser capaz de fazer isso: link

    
por 05.10.2017 / 16:52
0

É totalmente possível criar grupos locais e, em seguida, conceder-lhes direitos específicos de acesso (pastas, chaves de registro, ...), mas isso sempre dependerá dos requisitos do aplicativo, e a escalabilidade pode ser um problema. Então, se você tiver algum exemplo sobre esses aplicativos, fique à vontade para compartilhá-lo.

Entretanto, posso sugerir as seguintes soluções para resolver o seu problema:

  • [Conta de administrador separada] : conceda a cada usuário uma conta separada que fará parte do grupo de administradores locais de sua máquina
  • [Grupo de usuários avançados] : tente adicionar uma conta de usuários em questão neste grupo que tenha alguns poderes administrativos limitados e tente se o aplicativo puder ser executado
  • [Executar como ferramenta] : pode ser a melhor solução para o seu problema ( source ). Ele permite executar alguns aplicativos específicos com privilégios de administrador que você definiu sem precisar que o usuário seja administrador (veja a imagem abaixo)

Espero que isso ajude.

    
por 05.10.2017 / 15:19