Предоставить пользователям домена права администратора для определенного приложения?

2

Я не хочу, чтобы пользователи домена устанавливали новое программное обеспечение, поэтому я должен отобрать права администратора. Но некоторые приложения требуют привилегий администратора для пользователей. Как я могу отсортировать это?

Могу ли я создать новую локальную группу и предоставить определенные привилегии администратора?

administrator Biligsaikhan
источник
1
Для чего им нужны права администратора?
Гектор
Государственное программное обеспечение для финансов и т. Д.
Biligsaikhan
Как я имею в виду, что программное обеспечение пытается сделать, что требует прав администратора?
Гектор
защищенные данные со времен его правительства
Билигсайхан
1
Как это защищено? Это на машине или доступ через сеть? В любом случае приложение, для которого требуются учетные данные администратора, не имеет смысла. Либо их пользователь имеет право читать (и / или записывать) эти данные, либо это не так.
Гектор

Ответы:

0

В конечном счете, это зависит от того, насколько безопасна ваша среда. Для максимальной безопасности пользователь никогда не должен иметь административного доступа. Таким образом, лучший способ сделать это - заставить администратора запустить приложение, подняв его до уровня локального администратора (НЕ используя учетные данные администратора домена для предотвращения сброса пароля), а затем создав службу или что-то такое, что запускается от имени администратора, а затем запускает приложение. , Таким образом, у вас есть точный контроль зерна, и вы можете разрешить запуск приложения от имени администратора, не предоставляя пользователю права администратора и не подвергая себя всем видам атак, требующих прав администратора, таких как отравление ARP MITM, NBT-NS. подмена и NTLMv2 MITM, сброс пароля и т. д.

Schtasks должен быть в состоянии сделать это: https://msdn.microsoft.com/en-us/library/windows/desktop/bb736357(v=vs.85).aspx

Дэниел Гровер
источник
Я обнаружил, что могу создать ярлык, используя runas / ComputerName / Admin / savecred. Но сохранение учетных данных не очень хорошая идея для меня. Я провел некоторое исследование и не смог найти, где хранится кредит, и зашифрован он или нет. Другие решения, которые я нашел, я пытался отключить msiexec.exe в regedit и gpedit; Я попробовал несколько установить блокировку в gpedit. ничего не получалось. Если возможно, не могли бы вы дать более подробную информацию о запуске приложения с повышенными привилегиями.
Билигсайхан
Ты прав. Никогда не стоит включать пароли в скрипты. Вы можете создать запланированное задание для запуска программы как SYSTEM с использованием учетной записи локального администратора.
Даниэль Гровер
0

Вполне возможно создать локальные группы и затем предоставить им права доступа к конкретным файлам (папкам, разделам реестра и т. Д.), Но это всегда будет зависеть от требований приложения, и масштабируемость может стать проблемой. Так что у вас есть пример по этим приложениям, не стесняйтесь поделиться им.

Между тем, я могу предложить следующие решения для решения вашей проблемы:

  • [Отдельная учетная запись администратора] : предоставьте каждому пользователю отдельную учетную запись, которая будет входить в группу локальных администраторов его компьютера.
  • [Группа опытных пользователей] : попробуйте добавить учетную запись заинтересованных пользователей в эту группу, обладающую ограниченными административными полномочиями, а затем попытайтесь запустить приложение.
  • [Запуск от имени инструмента] : может быть лучшим решением вашей проблемы ( источник ). Он позволяет запускать определенные приложения с правами администратора, которые вы определили, без необходимости того, чтобы пользователь был администратором (см. Изображение ниже)

Запустить как программное обеспечение

Надеюсь, что это поможет.

Мишель де Кревуазье
источник