O usuário experiente usa o arquivo em lotes para desativar o compartilhamento de administração

2

Um usuário na minha rede (na verdade, meu antecessor) desativa os compartilhamentos administrativos com um arquivo em lote que é executado toda vez que o computador é inicializado. Eu gostaria de desabilitar isso sem o conhecimento dos usuários. Eu também gostaria de fazer isso remotamente e à vontade. Isso é possível?

Esse usuário não tem mais uma função de TI na empresa, mas gosta de usar seu conhecimento para contornar a política de uso aceitável de nossas empresas. Tenho capturas de tela dos vários arquivos e pastas que poderiam servir de prova, mas não sei ao certo até onde chegaria se informasse seus superiores (política do escritório). Qualquer sugestão sobre esta frente também seria apreciada.

A máquina em questão é o Windows 7 Pro de 32 bits. Nós usamos o Server 2003 para nosso domínio.

UPDATE: Eu usei um GPO para desabilitar os computadores na minha rede de lembrar o último usuário e, em seguida, joguei o "eu sou estúpido, lembra?" cartão quando eu fingi ignorância de por que isso estava acontecendo. Eu também descobri que, se o computador é ligado em energia, os compartilhamentos são recriados (eu sabia dessa parte), mas não são excluídos até que ele faça logon na caixa em questão. Em retrospecto, eu deveria ter percebido isso.

Ainda gostaria de receber sugestões para usar a Diretiva de Grupo no nível do domínio para limitar sua destruição à sua própria caixa. Eu também gostaria de ter certeza de que o tosser não pode logar em qualquer computador na rede, mas o seu próprio.

    
por Hannibal 24.08.2010 / 18:37

3 respostas

7

Embora possa haver uma solução técnica para isso, é realmente mais uma questão de política / RH. Informe o gerente do usuário da situação, bem como o departamento de RH. Se eles fecham os olhos para a situação, então não há muito para você fazer. Nessa situação, eles estão implicitamente tolerando o comportamento dele e, mesmo que você tenha desativado a capacidade dele de desativar o compartilhamento de administração, provavelmente ouvirá a respeito e será solicitado a reativar o usuário para continuar com o comportamento dele.

Esse usuário tem privilégios administrativos? (Estou assumindo que sim) Curto de remover estes, não tenho certeza de como você o impediria de desativar o compartilhamento de administração.

    
por 24.08.2010 / 18:49
0

Esta não é uma solução muito elegante, mas você pode simplesmente criar uma tarefa agendada para reativar o compartilhamento administrativo e executá-lo a cada hora. Se ele tiver permissões para adicionar / remover tarefas agendadas, ele também poderá desativar a tarefa, mas você também poderá usar uma diretiva de grupo para proibi-lo de acessar esse snap-in específico do MMC. (Tarefas agendadas no Windows 7 são um snapin MMC, enquanto no XP e Server 2003 elas não são, então você pode precisar fazer essas configurações de outro computador com Windows 7, não do DC, já que não acho que o plugin de tarefas aparecer no DC.)

    
por 24.08.2010 / 18:59
0

Independentemente de se tratar de um problema de RH ou não, ainda existe o problema de um usuário ter a capacidade de burlar a política. Embora o contato com o RH seja obrigatório na lista (o usuário está fazendo isso de propósito), o próximo item da lista é garantir que isso não ocorra novamente.

No que diz respeito ao gerenciamento que faz com que você altere as configurações, considero isso extremamente improvável, já que o usuário está realmente tornando sua máquina "incontrolável" e, portanto, agora é uma vulnerabilidade.

Primeiramente, verifique se o usuário não é um administrador no computador. Segundo, você pode impor uma política de grupo para desabilitar qualquer programa que o usuário esteja usando em seu script para desabilitar esses compartilhamentos.

link

    
por 24.08.2010 / 19:22