6 votes

Joril avatar

Comment verrouiller les postes de travail tout en prenant en charge les applications existantes qui nécessitent des droits d'administrateur local ?

Demandé el 3 de Juin, 2009
Quand la question a-t-elle été
4264 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je sais que nous nous efforçons tous de trouver un équilibre entre le verrouillage des postes de travail de nos utilisateurs et leur utilisation. J'ai un réel problème avec un client dont les utilisateurs installent constamment des barres d'outils, des jeux, des logiciels malveillants, etc. Je voudrais vraiment pouvoir leur retirer les droits d'administration locaux (et la direction aussi). Le problème est qu'ils s'appuient sur une poignée d'applications mal écrites qui nécessitent des droits d'administrateur local pour fonctionner correctement. Avant que quelqu'un ne le suggère, il n'est pas possible de se débarrasser de ces applications.

Je réalise que je peux créer des raccourcis personnalisés vers ces applications en utilisant la commande runas et en enregistrant les informations d'identification de l'administrateur local. Le problème avec cette solution est le suivant :

  • Je dois fournir manuellement les informations d'identification de l'administrateur local pour chaque utilisateur.
  • Certains programmes s'appuient sur les données du profil utilisateur local et ne fonctionnent pas correctement s'ils sont "trompés" en pensant qu'ils sont exécutés sous le nom de l'ordinateur. \Administrator profil.

Ce que j'aimerais, c'est pouvoir installer une application ou appliquer une stratégie de groupe qui me permette de spécifier les applications qui doivent être autorisées à élever les autorisations du profil local. Existe-t-il une solution de ce type ?

Comment les autres utilisateurs gèrent-ils le verrouillage des postes de travail tout en continuant à prendre en charge des logiciels anciens ou mal écrits ?

Demandé el 3 de Juin, 2009 par Joril

0 votes

Avatar de MastAvalons

Je pense que vous devriez regarder ici magicermine.com et ici boxedapp.com

Commenté el 27 de Janvier, 2012 par MastAvalons

Réponses

Trop de publicités?

8voto

Rob Moir avatar
Rob Moir Points 31534

Il est rare qu'un logiciel ait réellement besoin de droits d'administrateur, mais il écrit plutôt dans une zone du registre ou du disque dur à laquelle les administrateurs ont normalement accès et pas les autres utilisateurs. Cela peut sembler être du chipotage mais c'est fondamental pour résoudre ce problème.

Vous pouvez utiliser le processus moniteur edit : merci grawity des outils de Microsoft pour surveiller ce que font les applications, et attribuer aux utilisateurs des droits sur ces zones. http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Vous pouvez ensuite utiliser les stratégies de groupe pour appliquer des listes de contrôle d'accès de sécurité à la fois aux fichiers et dossiers et aux parties du registre. Une cause fréquente de ce problème est l'écriture du programme dans son dossier d'installation dans le dossier c : \program ou ses paramètres globaux dans le registre de la machine sous HKey Local Machine.

Répondu el 3 de Juin, 2009 par Rob Moir (31534 Points )

3 votes

Avatar de Christian Deger

L'Explorateur de processus n'est qu'un substitut au Gestionnaire des tâches. L'outil de surveillance est Process Monitor.

Commenté el 3 de Juin, 2009 par Christian Deger

0 votes

Avatar de Jacob

Je n'aime pas poser une question dans une réponse, mais si vous trouvez qu'il y a des erreurs d'écriture dans la base de registre, comment autorisez-vous certaines zones de la base de registre ?

Commenté el 3 de Juin, 2009 par Jacob

0 votes

Avatar de Rob Moir

Merci Grawity. Vous avez raison. Stupides doigts de dactylographie ! Jacob, vous pouvez contrôler les permissions dans le registre via un mécanisme similaire à celui des permissions sur disque : Les ACL qui peuvent être contrôlées via les GPO.

Commenté el 3 de Juin, 2009 par Rob Moir
Afficher 1 autres commentaires

3voto

Maximus Minimus avatar
Maximus Minimus Points 8917

Vous pourriez trouver des conseils utiles dans l'autre fil de discussion sur ce sujet : Anciennes applications nécessitant des privilèges d'administrateur sous XP

Vous devriez alors être en mesure de définir les autorisations nécessaires pour le système de fichiers et le registre à l'aide d'un GPO.

Répondu el 3 de Juin, 2009 par Maximus Minimus (8917 Points )

2voto

Christian Deger avatar
Christian Deger Points 503

Je trouve Moniteur de processus et Microsoft Boîte à outils de compatibilité des applications utile lorsqu'on essaie d'obtenir stup les anciennes applications fonctionnent. Il y a aussi LUA Buglight mais je ne l'ai pas essayé.

Pour ce qui est du verrouillage, je donnerais des droits d'administration locale aux utilisateurs qui savent ce qu'ils font et qui ne vont pas détruire des choses "accidentellement". (ce n'est que mon opinion)

Répondu el 3 de Juin, 2009 par Christian Deger (503 Points )

0 votes

Avatar de Evan Anderson

Je suis tout à fait d'accord avec l'utilisation d'outils tels que Process Monitor, ACT et LUA Buglight (qui est bien - je l'ai utilisé), mais je ne suis pas d'accord avec le fait de donner aux utilisateurs l'accès à l'administration locale, jamais. Même les administrateurs système ne devraient pas être connectés et effectuer des activités quotidiennes avec un compte d'administrateur local. Vous devriez toujours avoir à vous connecter explicitement en tant qu'administrateur, soit par le biais de RunAs ou d'autres mécanismes d'authentification alternatifs, soit par une déconnexion/ouverture de session pure et simple, lorsque vous voulez effectuer des tâches administratives.

Commenté el 3 de Juin, 2009 par Evan Anderson

0 votes

Avatar de Christian Deger

Je suis d'accord avec cela.

Commenté el 3 de Juin, 2009 par Christian Deger

1 votes

Avatar de Joril

Il faudrait d'abord que je trouve un utilisateur qui sache ce qu'il fait.

Commenté el 3 de Juin, 2009 par Joril

2voto

Mark H avatar
Mark H Points 21

Nous avons développé deux bonnes méthodes pour aider les utilisateurs sans droits d'administration :

1 . Créez un groupe avec des comptes "[user]-adm" et créez-les pour les utilisateurs puissants qui pourraient avoir besoin d'un accès. Ensuite, rendez les comptes actifs pendant quelques heures lorsqu'ils appellent pour demander les droits. Ils peuvent faire un clic droit et utiliser " RUN AS "pour installer avec des droits élevés.

2 . Nous avons créé une tâche planifiée qui charge un fichier batch au démarrage. Si un utilisateur ouvre un raccourci sur son bureau, il exécute le fichier batch (déjà en mémoire pour éviter les mots de passe en open-txt) et l'ajoute au groupe local-admin. Un email est automatiquement envoyé au helpdesk, et une minuterie démarre qui ne le garde actif que pendant une heure. Le ticket du service d'assistance suit l'utilisation, de sorte que tout abus est enregistré. Cette solution a bien fonctionné, mais la première option ci-dessus est plus facile à supporter.

Répondu el 18 de Décembre, 2011 par Mark H (21 Points )

0voto

Mike Deck avatar
Mike Deck Points 7443

Je pense que vous ne connaissez pas vraiment le fonctionnement de l'application si vous pensez que ces applications ont besoin d'un administrateur pour fonctionner. Les vendeurs de produits vous diront cela parce que c'est une excuse facile, mais c'est presque toujours faux. Je travaille dans un environnement DOD et nous n'avons jamais donné à qui que ce soit des droits d'administration sur leur système, car il y a toujours des moyens de les contourner. Je finis généralement par utiliser Processus Monito r que de nombreuses personnes ont mentionné, mais vous devriez également envisager de lire les documents suivants Le blog "non-administrateur" d'Aaron Margosis Il est consacré à la manière de surmonter ces problèmes et de toujours utiliser le compte le moins privilégié. Je recommande également d'écouter le Podcast Least User Access (LUA) de Microsoft Technet Radio en abordant ce sujet avec Aaron Margosis. Aaron semble avoir un nouvel outil appelé LUA Buglight 2.0 qui est censé aider à surmonter les exigences de la candidature, mais honnêtement, je ne l'ai jamais utilisé.

Accès du moindre utilisateur (LUA)

Répondu el 3 de Juin, 2009 par Mike Deck (7443 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X