В Windows Добавление учетной записи домена в группу локальных администраторов. Какие проблемы могут возникнуть?

1

Я работаю ИТ-специалистом, и у каждого сотрудника в моей компании есть учетная запись домена (Windows Server 2003). Многие люди хотят установить новое программное обеспечение для своих профессиональных нужд, и я должен быть там только для того, чтобы написать пароль администратора.

Это очень раздражает, и я решил, что предоставлю некоторым пользователям привилегию устанавливать новое программное обеспечение (только людям, которым я доверяю и чьи компьютерные способности выше среднего, поэтому я знаю, что они не будут устанавливать глупые вещи или вирусы).

Я обнаружил, что единственный способ сделать это - добавить учетную запись пользователя домена в группу локальных администраторов своего компьютера. Я немного неохотно, потому что я не знаю, какие могут быть недостатки этой стратегии.

Можете ли вы дать мне несколько сценариев, где этот шаг был бы плохой идеей? Я повторяю, что предоставлю эту привилегию только тем людям, которые, как я знаю, не будут устанавливать вредоносное ПО.

Реди
источник

Ответы:

0

Представьте себе худшее, что может случиться с компьютером . Это то, что может произойти, если вы предоставите пользователю права администратора. Вы даете им главный ключ. Есть ли какие-то изменения, которые вы не хотите, чтобы ваш пользователь делал? Это не важно Вы не можете остановить администратора.

Они могут отменить, обойти, победить и обойти все, что вы положили на компьютер. Это включает обход групповой политики в доменной среде.

Кроме того, любое вредоносное программное обеспечение, с которым они сталкиваются, наследует свои административные разрешения, и оно также будет свободно господствовать над компьютером.

Если есть какие-то хорошие новости, это то, что их административные разрешения применяются только к локальной рабочей станции. Быть локальным администратором на одном компьютере не дает пользователю права администратора на другом компьютере.

Твист имитатор
источник
Было бы лучше поместить пользователя в группу «Опытные пользователи»?
Реди
@redi По умолчанию в Windows 7 члены группы «Опытные пользователи» не имеют больше прав или разрешений пользователя, чем стандартная учетная запись пользователя . Если вы хотите предоставить своим пользователям даже некоторые административные права, то все недостатки, о которых я упоминал выше, все еще применяются к предоставленным им правам.
Twisty Impersonator
Уверены ли вы? Я читал, что опытные пользователи имеют права на установку нового программного обеспечения, но имеют несколько других ограничений (таких как установка драйверов). Это относится только к Windows 7?
Реди
@ Redi Я уверен. Ссылка, которую я предоставил выше, основана на этой документации непосредственно от Microsoft.
Twisty Impersonator