Evitar privilégios de administração local para nossos usuários de domínio

Question

Evitar privilégios de administração local para nossos usuários de domínio

#1 resposta do (2 votos)
#2 resposta do (1 votos)

3

Estou procurando possíveis soluções para impedir privilégios de administração local para nossos usuários de domínio. Atualmente, fornecemos aos nossos usuários de domínio privilégios de administração local para evitar problemas com aplicativos diferentes. Alguns aplicativos não serão iniciados ou funcionarão corretamente sem privilégios de administrador local.

Agora, estou interessado no estado atual das tecnologias ou nas práticas recomendadas para evitar esses tipos de permissão. Por exemplo, gostaríamos de restringir as permissões locais e proibir a instalação e a execução de aplicativos não confiáveis.

Eu encontrei as Políticas de Restrição de Software e o AppLocker, bem como o MDOP da Microsoft.

Quais tecnologias e melhores práticas você recomendaria?

permissions windows

por EEAA 16.12.2014 / 16:29

2 respostas

1

O que yagmoth555 disse. Usamos isto - ele concede privilégios administrativos aos processos, não aos usuários. (Pediram-me principalmente para conceder esses privilégios aos instaladores de software). Antes de termos isso, experimentamos em quais diretórios / chaves de registro / etc. precisava ser gravável pelos usuários para que um software específico fosse executado, o que geralmente (mas nem sempre) funcionava.

Eu diria, no entanto, que a melhor maneira de impedir que usuários instalem o crud em suas estações de trabalho é algo como:

$AcceptableAdmins = "YourDomain\Domain Admins", "YourDomain\Someuser", "YourDomain\Someotheruser"

$members = net localgroup administrators | where {$_ -notmatch "command completed successfully"} | where { $AcceptableAdmins -notcontains $_}

foreach($member in $members)
{
net localgroup "power users" $member /add
net localgroup administrators $member /del
}

(Eu suspeito que não é o que você estava procurando, mas na minha experiência é o mais eficaz.)

por 16.12.2014 / 22:44

Tags permissions windows

O KVM Ubuntu Guest não pode se conectar à Internet em rede de ponte Configuração do RAID SSD HP P420i

score 2 · Accepted Answer

Use o processmonitor e permita o direito apenas onde eles precisarem. (também conhecido como hive de registro de arquivo e pasta de arquivos) Isso pode ser feito via gpo para dar esse tipo de permissão. Fiz isso para acad em exemple, e agora que funciona bem sem direito de administrador.

Saiba que este é um processo longo.

Editado: Teste o App-V se você também puder, o aplicativo será executado como administrador, já que ele é pré-armazenado em cache. Assim, como se escrevesse em c: \ windows, ele seria redirecionado em seu cache.