Предоставить пользователям домена права администратора для определенного приложения?

2

Я не хочу, чтобы пользователи домена устанавливали новое программное обеспечение, поэтому я должен отобрать права администратора. Но некоторые приложения требуют привилегий администратора для пользователей. Как я могу отсортировать это?

Могу ли я создать новую локальную группу и предоставить определенные привилегии администратора?

administrator 
Biligsaikhan
источник
1
Для чего им нужны права администратора?
Гектор
Государственное программное обеспечение для финансов и т. Д.
Biligsaikhan
Как я имею в виду, что программное обеспечение пытается сделать, что требует прав администратора?
Гектор
защищенные данные со времен его правительства
Билигсайхан
1
Как это защищено? Это на машине или доступ через сеть? В любом случае приложение, для которого требуются учетные данные администратора, не имеет смысла. Либо их пользователь имеет право читать (и / или записывать) эти данные, либо это не так.
Гектор

Ответы:

0

В конечном счете, это зависит от того, насколько безопасна ваша среда. Для максимальной безопасности пользователь никогда не должен иметь административного доступа. Таким образом, лучший способ сделать это - заставить администратора запустить приложение, подняв его до уровня локального администратора (НЕ используя учетные данные администратора домена для предотвращения сброса пароля), а затем создав службу или что-то такое, что запускается от имени администратора, а затем запускает приложение. , Таким образом, у вас есть точный контроль зерна, и вы можете разрешить запуск приложения от имени администратора, не предоставляя пользователю права администратора и не подвергая себя всем видам атак, требующих прав администратора, таких как отравление ARP MITM, NBT-NS. подмена и NTLMv2 MITM, сброс пароля и т. д.

Schtasks должен быть в состоянии сделать это: https://msdn.microsoft.com/en-us/library/windows/desktop/bb736357(v=vs.85).aspx

Дэниел Гровер
источник
Я обнаружил, что могу создать ярлык, используя runas / ComputerName / Admin / savecred. Но сохранение учетных данных не очень хорошая идея для меня. Я провел некоторое исследование и не смог найти, где хранится кредит, и зашифрован он или нет. Другие решения, которые я нашел, я пытался отключить msiexec.exe в regedit и gpedit; Я попробовал несколько установить блокировку в gpedit. ничего не получалось. Если возможно, не могли бы вы дать более подробную информацию о запуске приложения с повышенными привилегиями.
Билигсайхан
Ты прав. Никогда не стоит включать пароли в скрипты. Вы можете создать запланированное задание для запуска программы как SYSTEM с использованием учетной записи локального администратора.
Даниэль Гровер
0

Вполне возможно создать локальные группы и затем предоставить им права доступа к конкретным файлам (папкам, разделам реестра и т. Д.), Но это всегда будет зависеть от требований приложения, и масштабируемость может стать проблемой. Так что у вас есть пример по этим приложениям, не стесняйтесь поделиться им.

Между тем, я могу предложить следующие решения для решения вашей проблемы:

  • [Отдельная учетная запись администратора] : предоставьте каждому пользователю отдельную учетную запись, которая будет входить в группу локальных администраторов его компьютера.
  • [Группа опытных пользователей] : попробуйте добавить учетную запись заинтересованных пользователей в эту группу, обладающую ограниченными административными полномочиями, а затем попытайтесь запустить приложение.
  • [Запуск от имени инструмента] : может быть лучшим решением вашей проблемы ( источник ). Он позволяет запускать определенные приложения с правами администратора, которые вы определили, без необходимости того, чтобы пользователь был администратором (см. Изображение ниже)

Запустить как программное обеспечение

Надеюсь, что это поможет.

Мишель де Кревуазье
источник
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.