Предотвратете инсталирането на софтуер с групови правила - администратор

12 юни 2009 г., актуализиран в 16:17, 24005 прегледа, 18 коментара

Здравейте, имам нужда от вашата помощ, става дума за компания, която е нараснала доста за една година. Сега тази компания трябва да получи прилична ИТ структура, с която вече съм на прав път. Получих цялата компания чрез Docusnap

  • отговор
  • | Повече ▼
    • разделям
    • Да натиснеш
    • Постоянна връзка
  • РЕШЕНИЕ TraceHard40 пише на 06/12/2009 в 16:38:01 ч
  • SOLUTION deeboo пише на 06/12/2009 в 16:40:04 ч
    • SOLUTION obliterator пише на 06/12/2009 в 16:56:31
    • РЕШЕНИЕ TraceHard40 пише на 06/12/2009 в 16:57:59
      • РЕШЕНИЕ HightopOne пише на 12 юни 2009 г. в 17:34:10 ч
        • РЕШЕНИЕ DerWoWousse пише на 14.06.2009 г. в 23:47:42 ч
  • РЕШЕНИЕ DerWoWousse пише на 15 юни 2009 г. в 00:02:44
    • SOLUTION obliterator пише на 15.06.2009 в 7:35:54 сутринта
      • РЕШЕНИЕ DerWoWousse пише на 15 юни 2009 г. в 8:26:31 ч
        • SOLUTION obliterator пише на 15.06.2009 в 09:51:52
          • РЕШЕНИЕ HightopOne пише на 15 юни 2009 г. в 10:30:47 ч
          • РЕШЕНИЕ DerWoWousse пише на 16.06.2009 г. в 00:19:17
            • SOLUTION obliterator пише на 16.06.2009 г. в 9:42:05 ч
              • РЕШЕНИЕ DerWoWousse пише на 16 юни 2009 г. в 11:55:48 ч.
                • SOLUTION obliterator пише на 17.06.2009 г. в 20:40:09
                  • РЕШЕНИЕ DerWoWousse пише на 17 юни 2009 г. в 21:03:19 ч
                    • SOLUTION obliterator пише на 18.06.2009 г. в 7:36:45 ч
                      • РЕШЕНИЕ DerWoWousse пише на 18.06.2009 г. в 9:38:37 ч.

Ти трябва да просто коригирайте разрешенията за NTFS, така че потребителят да може да пише отново в съответните директории.

предотвратете

Никога не бих направил администратора на потребителя или само ако нямаше друг начин.

Мисля, че това би било безболезнен начин.

Защо местен администратор?

Ако искате нещо, трябва да се свържете с ИТ отдела.
Е, някои програми се изпълняват само с права на местен администратор, но това остава да бъде проучено и претеглено.

Моят подход би бил също така да превключвам всички потребители към основни потребители.

Защо някой трябва да сложи нещо на C:.?
Има сървъри за това, които се архивират ежедневно.

Благодаря ви за бързия съвет, точно как подходихте по този въпрос, аз също отговорих. В тази компания съм от септември миналата година и предшественикът го беше настроил по този начин там, където преди това нямаше сървър и той също се търсеше от компанията.
Така че аз го виждам по същия начин, правата на местния администратор трябва да бъдат отнети от потребителите на домейна и да бъдат превключени към основните потребители (не могат ли основните потребители също да инсталират софтуер?) Мисля, че трябва да ги настроя на потребител или?

Да deeboo за "Защо някой трябва да сложи нещо на C:"

това е точно моят проблем - имаме директория с данни на сървъра (мрежово устройство S и всеки потребител личен userdir U:

Прав сте, от съображения за защита на данните нищо не трябва да е на C: \ но какво да кажем за програми, които напр. Запазват нещо вътрешно в c: външен твърд диск и др.)

така че да обобщим:
Отнемете правата на местния администратор от потребителите на домейна и ги направете нормални потребители.
Не мога да предотвратя инсталирането на софтуер чрез групови правила или?

Първо и най-важно, трябва да разберете на кои компютри ви трябват администраторски права, за да работите, на кои администраторски права вече не се изискват да работят, след като някои конфигурации са били модифицирани, и на кои можете да ги премахнете незабавно. В никакъв случай те не трябва да се оттеглят без знанието на потребителя.
Кажете на шефа какво замисляте и защо и нека той одобри въпроса и след това служителите. информирам. Ако това не се случи, може да има проблеми.
Основните потребители са само частично добър начин, защото Windows им позволява да се правят администратори, вижте статията на Марк Русинович за това.

Ако вече не можете да създавате папки (къде всъщност?) След като администраторските права бъдат оттеглени, както е описано, тогава евентуално трябва да нулирате NTFS правата до стандартния стандарт или поне да анализирате съществуващите, вижте http://technet.microsoft.com /de-de/library/cc784993(WS.10).aspx

благодаря досега първо !
Към DerWoWousse (горещо име:>)

Знам на кои компютри мога да оттегля администраторските права, всичко договорено с ръководството !

Но когато направих това и дадох на потребителите права на "потребител с мощност", те можеха да създават папки само под c: \ Program Files. Освен това съм на мнение като основен потребител, можете да продължите да инсталирате софтуер или греша?

това означава най-добре да се класифицира като нормален потребител или?

Какво точно предлагате? ?
Трябва да бъде така, че потребителите да не могат да инсталират нищо и да не го запазват на локалния твърд диск (току-що разбрали от ръководството!)

Здравейте,
прав си кой знаеш, но както той писа в последния пост, не бива да им се позволява да инсталират нищо и не трябва да им се позволява да записват нищо.

Доколкото знам, не можете да инсталирате този с Windows Installer по два начина, да забраните Windows Installer или да използвате политиката за ограничаване на софтуера.

Но току-що забелязах, че все още съществува насоката „Не позволявай инсталиране от потребителя“, която също би постигнала целта. И в двата случая обаче тя винаги ще се отнася за компютърните обекти. тъй като потребителят не трябва, но политиката трябва да бъде създадена за компютърен обект, тъй като няма друга опция, поне след задълбочен преглед на политиката и тъй като потребителят не трябва да инсталира нищо на компютъра, трябва да има политика за да бъде компютърен обект.

С втората заявка става малко по-сложно, ако има втори дял, тогава бих оттеглил съответните права на NTFS и, ако е необходимо, да работя с отрицателни разрешения.

Със системния дял щях да бъда малко претоварен в момента, може би да работя с фиксиран профил и права на NTFS в комбинация, може би също така да поставя собствените си файлове на споделяне.