Hierarquia de privilégios do usuário do Windows

Question

Hierarquia de privilégios do usuário do Windows

#1 resposta do (1 votos)

1

É possível no Windows criar uma conta "semi-admin"? Por exemplo, é possível criar uma conta de administrador adicional com o único fator limitante sendo que ela é menor na hierarquia de permissões do que a conta de administrador original (isto é, não pode matar nenhum processo iniciado pela conta de administrador original nem apropriar-se de seus arquivos) , etc.)

Eu não estou conseguindo encontrar nenhuma conversa sobre isso na internet e tendo problemas para fazer isso sozinho.

Isso deve funcionar em teoria. Se o Windows NT oferecer suporte a algo como isso para Servidores, certamente ele também deverá ser possível para uma edição regular do Windows 7 não empresarial?

Obrigado antecipadamente

DTS

windows windows-7 windows-8 windows-10

por DST 10.12.2016 / 19:17

1 resposta

Tags windows windows-7 windows-8 windows-10

VirtualBox não exporta imagem de disco em OVA GPGPU e compatibilidade com motherboards

score 1 · Answer 1

TL; DR:

As próprias permissões não são hierárquicas no Windows, portanto você não pode atribuir um direito com base no "nível" de um usuário. São permissões individuais atribuídas a um recurso para cada usuário. Um diagrama de Venn é uma boa analogia - se um usuário entrar no círculo correto, ele poderá executar a ação associada.

Mais detalhes

No Windows, cada recurso (arquivo, processo, entrada de registro, etc.) tem uma lista de controle de acesso (ACL) com uma ou mais entradas que define quais usuários têm permissão sobre o recurso. Além disso, você pode (e deve) atribuir a permissão a um grupo e adicionar o usuário ao grupo.

Um administrador é simplesmente um usuário que pertence a um grupo (Administradores) que, por padrão, tem todas as permissões em todos os recursos (bem, na maioria das vezes, mas essa é outra postagem).

Existem outros grupos padrão que têm um subconjunto dessas permissões que podem se adequar ao seu requisito:

Grupos locais: link

Grupos do Active Directory: link

Você também pode criar seus próprios grupos que têm um subconjunto das permissões atribuídas a um subconjunto dos recursos: link

Existem muitas nuances para definir permissões para que elas (1) tenham o efeito pretendido e (2) sejam sustentáveis e recomendo vivamente a leitura de algumas práticas recomendadas antes de aderirmos a ela, mas algumas indicações gerais para as permissões NTFS são :

adicione usuários a grupos e atribua permissões ao grupo (não ao usuário!)
use grupos aninhados para melhor organização, por exemplo, U: BSmith - > G: contabilidade - > G: PayrollUsers - > ACL
dê aos grupos o menor privilégio de que precisam para realizar o trabalho definido pelo grupo
As permissões são aditivas. Ou seja se um usuário pertencer a dois grupos diferentes, ele poderá fazer qualquer coisa que um grupo possa fazer.
Negar permissões de substituição permitem permissões. Ou seja se um usuário pertencer a dois grupos diferentes, ele poderá fazer tudo o que qualquer um dos grupos puder fazer, menos qualquer coisa em que um dos grupos seja especificamente negado.

Se você estiver fazendo algo de missão crítica, recomendo strongmente que alguém com experiência o ajude. Existem muitas maneiras de causar efeitos colaterais indesejados.