主页 / server / 问题 / 18808
Accepted
Kyle Noland
Asked: 2009-06-04 07:06:48 +0800 CST

您如何锁定工作站并仍然支持需要本地管理员权限的旧版应用程序?

  • 772

我知道我们都在努力在保持用户工作站锁定但仍然可用之间取得平衡。我有一个客户经常安装工具栏、游戏、恶意软件等问题。我真的希望能够取消他们的本地管理权限(管理也是如此)。问题是他们依赖于少数编写不佳的应用程序,这些应用程序需要本地管理员权限才能正常运行。在任何人建议之前,不可能摆脱这些应用程序。

我意识到我可以使用 runas 命令创建这些应用程序的自定义快捷方式并保存本地管理员凭据。这个解决方案的问题是:

  • 我必须为每个用户手动提供本地管理员凭据。
  • 一些程序依赖于本地用户配置文件中的数据,如果被“欺骗”以为它们在 ComputerName\Administrator 配置文件下运行,它们将无法正常运行。

我想要的是安装一些应用程序或应用组策略,允许我指定应该允许提升本地配置文件权限的应用程序。有这样的解决方案吗?

其他人如何处理锁定工作站并仍然支持遗留/编写不佳的软件?

group-policy security permissions lockdown

10 个回答

  1. Best Answer

    软件包实际上需要管理员权限的情况很少见,而是写入管理员通常可以访问而其他用户没有权限的注册表或硬盘区域。这听起来像是吹毛求疵,但它是解决这个问题的基础。

    您可以使用进程监视器 编辑:感谢 Microsoft 的 Grawity工具来监视应用程序正在执行的操作,并将这些区域的权限分配给用户。http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

    然后,您可以使用组策略将安全 ACL 应用于文件和文件夹以及注册表的一部分。此问题的常见原因是程序写入 c:\program 文件中的任一/或其安装文件夹,或其在 HKey Local Machine 下的机器注册表上的全局设置。

    • 8

  2. 您可能会从有关此主题的其他线程中获得一些有用的提示:在 XP 上需要管理员权限的旧版应用程序

    然后,您应该能够使用 GPO 设置必要的文件系统和注册表权限。

    • 3

  3. 我发现Process Monitor和 Microsoft Application Compatibility Toolkit在尝试让旧版应用程序正常工作时很有。还有LUA Buglight,但我没有尝试过。

    至于锁定,我会将本地管理员权限授予那些知道自己在做什么并且不会“意外”破坏事物的用户。(这只是我的意见)

    • 2

  4. 我们开发了两种很好的方法来支持没有管理员权限的用户:

    1 . 使用“[user]-adm”帐户创建一个组,并为可能需要访问权限的高级用户创建它们。然后,当他们调用需要权限时,使帐户活动几个小时。他们可以右键单击并使用“ RUN AS ”以提升权限进行安装。

    2 . 我们创建了一个在启动时加载批处理文件的计划任务。如果用户在他的桌面上打开了一个快捷方式,它会运行批处理文件(已经在内存中运行以避免 open-txt 密码)并将他添加到 local-admin 组。一封电子邮件会自动发送到帮助台,并启动一个计时器,它只会保持活动 1 小时。帮助台票会跟踪使用情况,因此会记录任何滥用行为。那个效果很好,但上面的第一个选项更受支持。

    • 2

  5. 我非常不同意从不授予本地管理员访问权限。如果我采用这种做法,我会浪费大量时间。但是,您的组织越大,就越难以衡量对本地管理员的信任。考虑采用“Scorched Earth”政策,为当地管理员授予签名表格,以配合其授予。所说的政策将是“如果你打破它,你自己,我们会花几分钟看它,然后它是擦拭并重新加载。”

    • 1

  6. 如果真的认为这些应用程序需要管理员才能工作,我认为您并不真正了解应用程序的工作原理。产品供应商会告诉你这一点,因为它很容易逃避,但实际上它几乎总是不正确的。我在国防部环境中工作,我们从未授予任何人对其系统的管理权限,因为总有办法绕过它。我通常最终使用许多人提到的Process Monito r,但您还应该阅读Aaron Margosis 的“非管理员”WebLog,它致力于如何克服这些问题并始终使用最低权限的帐户。我还建议收听​​ Microsoft Technet Radio 的 Least User Access (LUA) 播客,因为他们与 Aaron Margosis 接触了这个话题。Aaron 似乎有一个名为LUA Buglight 2.0的新工具,它应该有助于克服应用程序需求,但老实说,我从未使用过它。

    最少用户访问 (LUA)

    • 0

  7. 您还可以考虑 VMware 的 ThinApp(以前称为 Thinstall)

    http://www.thinstall.com/

    不确定这是否可以解决此特定问题,但它可能可以。

    • 0

  8. 大多数无法以标准用户身份运行的应用程序都因文件注册表访问被拒绝而失败。

    在 Windows XP 上,您可以ACL程序需要访问的各种文件夹和注册表位置,以便标准用户可以访问它们。

    即让每个人都完全控制

    c:\Program Files\World of Warcraft
HLKM\Software\Green Planet\Project Quantum

    如果他们尝试注册 COM 对象或文件扩展名,您可以确保它已注册一次,然后还可以完全控制该 hive 分支。例如:

    HKLM\Software\Classes\GreenPlanet.ProjectQuantum.1
HKLM\Software\Classes\CLSID\{9785B48F-520D-4179-8DEE-A4C7DDEBAB4F}

    如果您的人员正在运行 Windows Vista,那么他们作为标准用户成功运行的机会就更大。微软竭尽全力让应用程序以标准用户身份运行,而这些应用程序在 Windows XP 上会失败。

    它的文件和注册表虚拟化非常有用,可以解决那些认为需要写入机器范围位置的应用程序。

    真正的答案是修复应用程序。地球上几乎没有应用程序需要写入机器通用位置。这些应用程序应由作者修复。

    如果您确实设法在地球上找到了有正当理由写入公共位置的一两个应用程序,并且您不希望您的用户以管理员身份运行,那么您将 ACL 位置授予他们可以访问它们的位置。

    • 0

  9. 视情况而定,Virtual PC 或 VMWare 可能是一种解决方案。

    • 0

  10. 是否可以在终端会话中运行应用程序?这样,您可以在 TS 上授予“本地管理员”权限,但不能在实际的本地计算机上授予。

    -JFV

    • -2

相关问题