Práticas recomendadas - Windows 7 Remote Road Warrior Laptop Permissões do usuário

4

Estou interessado em saber quais são as melhores práticas ao configurar laptops para usuários remotos que nunca estão no escritório. Com o UAC no Windows 7, um usuário padrão é significativamente limitado no que pode fazer. Quando você não deseja desativar o UAC ou tornar o usuário um administrador, quais configurações você altera para fornecer acesso básico, mas permanecer seguro?

Algumas frustrações que encontrei recentemente incluem:

  • O usuário não consegue instalar sua impressora doméstica sem direitos de administrador
  • O usuário não pode remover uma conexão de teclado do bluetooth corrompida sem direitos de administrador para que possam usar o teclado
  • O usuário não pode excluir atalhos globais da área de trabalho
  • O UAC corta o acesso por meio de conexões VNC quando solicitado pela senha do administrador

A lista acima pode ser expandida indefinidamente. Em geral, quais configurações e permissões você altera para preparar laptops / notebooks para estar na estrada como um usuário limitado, onde o acesso de administrador é difícil na melhor das hipóteses?

Como administrador, como você satisfaz as necessidades do usuário e facilita o suporte quando eles não estão no escritório ou uma simples conexão com a Área de Trabalho Remota?

    
por bendiy 04.01.2012 / 00:49

1 resposta

4

Forneça uma conta separada com permissões de administrador que eles possam usar para esses tipos de atividades. O usuário não teria acesso conveniente a seus recursos de rede (documentos e e-mails) com essa conta, portanto, eles não estariam inclinados a usá-lo o tempo todo. Eles podem usar a conta privilegiada principalmente para o prompt do UAC ou, talvez, até mesmo fazer logon com uma área de trabalho completa para casos de limite limitado.

Se a conta for uma conta de domínio, ela precisará ser registrada pelo menos uma vez enquanto estiver conectada à rede para que possa ser usada (para armazenar em cache as credenciais).

Observe que, para que isso funcione, seria necessária a imposição do grupo Administradores usando a Diretiva de Grupo ou a auditoria para garantir que eles não tenham sido adicionados ao grupo Administradores. Existem várias abordagens.

Na verdade, fazemos isso usando uma conta local com o mesmo nome de conta em cada computador, o que facilita a configuração para a imposição de GPO. Mas há problemas de gerenciamento associados à rotação de senhas para contas locais. Se você estiver satisfeito com o usuário que gerencia a senha da conta local, a abordagem da conta local provavelmente funcionaria para você e não precisa se preocupar com credenciais em cache com contas locais.

Você também pode estar interessado em saber que o grupo Usuários avançados não tem os privilégios que ele executou no Windows XP (felizmente). No entanto, se você realmente quiser filmar a si mesmo, é possível aplicar um modelo de segurança a arquivos de sistema, pastas e configurações de registro e privilégios para conceder aos Usuários Avançados o nível anterior de acesso.

As permissões e os direitos foram removidos do grupo Usuários avançados do Windows Vista
link

Direitos do usuário link

    
por 04.01.2012 / 01:40