Diretiva de grupo: definindo direitos de acesso à área de trabalho

Navegue suas respostas
1

Eu trabalho em tempo parcial como administrador de rede / sistema para uma escola pequena. A escola usa um sistema comercial de informações do aluno que é atualizado trimestralmente. Depois que o servidor é atualizado, os usuários não podem acessar o SIS sem que um administrador execute manualmente o instalador de atualização em cada máquina. Tem sido assim desde que qualquer um pode se lembrar.

Meu antecessor (s) fez um grande esforço para bloquear os desktops. Eu suponho para tentar impedir que os usuários instalem acidentalmente vírus e tal (seus esforços falharam eu poderia adicionar). Esta parece ser a razão pela qual o SIS não pode atualizar automaticamente cada desktop sem um administrador logado. Após uma atualização recente, sua situação piora. Agora, os usuários não podem usar o programa normalmente sem privilégios elevados, muito menos instalar atualizações.

Não sendo possível localizar as configurações que estão restringindo os usuários, precisei adicionar manualmente cada usuário ao grupo de administradores de sua própria máquina local. Claro, isso significa que se um mau funcionamento desse usuário não puder usar a máquina de outro usuário até que ele seja reparado.

Estou assumindo que as configurações de segurança que preciso alterar são definidas no editor de política de grupo, mas não consigo encontrar onde. Qualquer ajuda seria apreciada.

P.S. Caso você não tenha adivinhado, não sou treinado na administração do Windows. Eu aprendi o suficiente lendo arquivos de ajuda para sobreviver, mas meu trabalho diário é o desenvolvimento de software.

    
por Kenneth Cochran 09.10.2009 / 17:56

4 respostas

1

O melhor conselho é entrar em contato com o fornecedor do software do sistema de informações do aluno & pressioná-los a criar uma versão de seu software que não exija acesso de administrador local no computador. Esta é uma falha de projeto da parte deles & eles devem consertar isso.

Sua outra opção é tentar quebrar as janelas de maneira cuidadosa para permitir que o aplicativo seja executado, caso em que você precisará de Monitor de processos e um bom olho para descobrir a permissão de erros negados.


EDITAR: Acho que o mais simples para isso é colocar todos os seus usuários que exigem acesso de administrador para este aplicativo em um grupo de segurança de domínio & em seguida, adicione o grupo de domínio à lista de administradores locais no PC que eles precisam acessar.

Se você quiser se tornar ainda mais sofisticado, crie uma política de grupo e atribua-a a uma UO de computadores em que você deseja que seu grupo de segurança tenha acesso de administrador.

Se você quiser pesquisar as políticas de grupo, use o Gerenciamento de Diretiva de Grupo . Os relatórios facilitam a visualização do que foi definido na política & onde no domínio foi aplicado.

    
por 09.10.2009 / 18:05
0

Se o computador Windows tiver ingressado em um domínio do Active Directory, poderá haver políticas de grupo do AD que estão restringindo cada usuário. É uma maneira muito eficiente de bloquear os desktops.

    
por 09.10.2009 / 18:36
0

Na maioria das vezes, os privilégios de administrador local são necessários para executar um programa apenas porque o programa grava ou atualiza dados na pasta "Arquivos de Programas". Essa pasta é geralmente somente leitura para não administradores. Normalmente, os arquivos de configuração são os culpados!

Eu sugiro uma experiência. Use um administrador local para conceder a todos os usuários direitos totais para a pasta na qual o programa está instalado. Em seguida, tente executá-lo e tente executar o instalador de atualização.

Se isso for bem-sucedido, você poderá usar o GP para ajustar globalmente as permissões ou poderá colocar um comando CACLS no script de login.

    
por 09.10.2009 / 18:48
0

Gerenciando administradores locais

A melhor maneira de IMHO para gerenciar os privilégios de administrador local em um domínio é a seguinte.
1- Criar um grupo de domínio (digamos, "Administradores da área de trabalho")
2- Em cada estação de trabalho, adicione o grupo "Desktop Admins" ao grupo de Administradores Locais.
- > Isso pode ser feito via GPO, embora meu uso dele seja anterior ao GPO
3- Se necessário, coloque usuários de domínio individuais dentro e fora do grupo de domínio "Admin Desktop".

Observação: Nick sugere a mesma coisa, mas Eu fiz para a posteridade.

    
por 09.10.2009 / 18:54

Tags

Motivo de uma página bloqueada no WebSense Gerenciando o Reporting Services