Dando aos usuários controle total sobre suas unidades locais?

1

Existe uma maneira de dar a um usuário de domínio controle total de suas unidades locais no final da Diretiva de Grupo?

Especificamente, meu gerente de TI deseja o seguinte:

a) Controle de área de trabalho permitido
b) Acesso total aos discos rígidos locais
c) Instalação de software NÃO permitido d) Atualizações de software existentes permitidas
e) Instalar impressoras adicionais

Permitido No momento, nossa configuração do Win2003 não permite que os usuários façam a, b, d, e - imaginei se havia uma maneira de usar o GP para ativá-los?

    
por spelk 11.03.2010 / 13:52

3 respostas

1

Sim, embora seja uma alteração baseada em registro, é necessário configurar um arquivo .ADM. Detalhes completos em da Microsoft. (Você obviamente quer a opção 'Não restringir drives')

    
por 11.03.2010 / 14:02
1

Eu observaria que o que você está tentando fazer é uma ideia muito ruim.

Dito isto, pode utilizar a política de segurança do sistema de ficheiros para conceder acesso a arquivos / pastas usando a Diretiva de Grupo.

Você tem requisitos conflitantes (e requisitos totalmente ortogonais para sua pergunta também). Se você está tirando os direitos de "Administrador", mas dando aos usuários "Controle Total" do disco em que o sistema operacional está instalado, você está apenas dando a eles a capacidade de recuperar os direitos de "Administrador" (bem como instalar software, software malicioso). , etc), modificando arquivos do sistema operacional.

Se você está tentando fazer com que os usuários parem de ser "Administradores" e comece a limpar seus procedimentos de suporte, sua melhor aposta é usar o "Redirecionamento de Pastas" e montar uma campanha política para convencer os usuários de que seus dados estarão mais seguros , mais seguro e mais acessível armazenando-o na pasta "Meus Documentos" (que você redirecionará para um computador servidor).

Não há bons motivos para salvar arquivos em uma unidade de disco rígido local. Qualquer motivo que você possa pensar não é bom o suficiente. A Microsoft fez um excelente trabalho, nos últimos lançamentos de servidor / cliente, de fornecer mecanismos para armazenar dados do lado do servidor, disponibilizá-los no lado do cliente mesmo quando desconectados da rede e, ao mesmo tempo, manter os dados protegidos e protegidos. .

É preciso muito trabalho, tempo e esforço para fazer a transição para longe da cultura de "todos são administradores". Você terá que usar ferramentas como "Process Monitor" para bater seu software em re: executando como usuários não privilegiados. Se você puder fazê-lo, no entanto, você será um mundo muito melhor: custo de suporte recorrente, combate a "incêndios", etc.

    
por 23.03.2010 / 15:24
0

por padrão, apenas o grupo de administradores do domínio é adicionado como administradores locais em um computador. Mas você pode no computador ir para o "gerenciamento do computador" (clique direito no computador e clique em gerenciar) e em grupos - os administradores vão e adicionam usuários de domínio também. É assim que eu faço. é um longo processo se você precisar fazer isso em muitos computadores.

Então, se alguém tiver uma solução melhor, eu também não me importaria.

    
por 11.03.2010 / 14:04