Запобігання встановленню програмного забезпечення за допомогою групової політики - адміністратор

12 червня 2009 р., Оновлено 16:17, 24005 переглядів, 18 коментарів

Привіт, мені потрібна ваша допомога, мова йде про компанію, яка за рік зросла досить сильно. Тепер ця компанія повинна отримати гідну ІТ-структуру, з якою я вже на правильному шляху. Отримав цілу компанію через Docusnap

  • відповісти
  • Більше
    • розділити
    • Натиснути
    • Постійне посилання
  • РІШЕННЯ TraceHard40 пише 06/12/2009 о 16:38:01 вечора
  • SOLUTION deeboo пише 06/12/2009 о 16:40:04
    • Записувач РІШЕННЯ пише 06/12/2009 о 16:56:31 вечора
    • РІШЕННЯ TraceHard40 пише 06/12/2009 о 16:57:59
      • РІШЕННЯ HightopOne пише 12 червня 2009 року о 17:34:10 вечора
        • РІШЕННЯ DerWoWousse пише 14.06.2009 о 23:47:42
  • РІШЕННЯ DerWoWousse пише 15 червня 2009 року о 00:02:44
    • Записувач РІШЕННЯ пише 15.06.2009 о 7:35:54 ранку
      • РІШЕННЯ DerWoWousse пише 15 червня 2009 року о 8:26:31 ранку
        • Записувач РІШЕННЯ пише 15.06.2009 о 09:51:52
          • РІШЕННЯ HightopOne пише 15 червня 2009 року о 10:30:47 ранку
          • РІШЕННЯ DerWoWousse пише 16.06.2009 о 00:19:17
            • Записувач РІШЕННЯ пише 16.06.2009 о 9:42:05
              • РІШЕННЯ DerWoWousse пише 16 червня 2009 року об 11:55:48 ранку.
                • Записувач РІШЕННЯ пише 17.06.2009 о 20:40:09
                  • РІШЕННЯ DerWoWousse пише 17 червня 2009 року о 21:03:19 вечора
                    • Записувач РІШЕННЯ пише 18.06.2009 о 7:36:45 ранку
                      • РІШЕННЯ DerWoWousse пише 18.06.2009 о 9:38:37 ранку

На мій погляд, вам потрібно лише налаштувати дозволи NTFS, щоб користувачі могли знову писати у відповідні каталоги.

програмного

Я ніколи, або лише якби не було іншого шляху, робив користувача адміністратором.

Думаю, це був би безболісний спосіб.

Чому місцевий адміністратор?

Якщо ви чогось хочете, вам слід зв’язатися з ІТ-відділом.
Ну, деякі програми працюють лише з місцевими правами адміністратора, але це ще слід вивчити та зважити.

Мій підхід також полягав би у переведенні всіх користувачів на основних користувачів.

Чому хтось повинен щось ставити на C:.?
Для цього існують сервери, резервне копіювання яких здійснюється щодня.

Дякую за вашу швидку пораду, як саме ви підійшли до цього питання, я також відповів. Я був у цій компанії з вересня минулого року, і попередник встановив це так, де раніше не було сервера, і це також вимагала компанія.
Тож я бачу це саме так, права локального адміністратора повинні бути вилучені у користувачів домену та переведені на основного користувача (чи не можуть основні користувачі також встановлювати програмне забезпечення?) Я думаю, що я повинен встановити їх як користувача або?

Повернутися до питання "Чому хтось повинен щось ставити на C:"

це саме моя проблема - у нас на сервері є каталог даних (мережевий диск S а кожен користувач - особистий каталог користувача U:

Ви маєте рацію, з міркувань захисту даних на C: \ нічого не повинно бути, але як щодо програм, які, наприклад, зберігають щось внутрішньо на c: зовнішній жорсткий диск тощо.)

так підсумовуємо:
Відкликати права локального адміністратора у користувачів домену та зробити їх звичайними користувачами.
Я не можу запобігти встановленню програмного забезпечення за допомогою групової політики або?

Перш за все, вам слід з’ясувати, на яких комп’ютерах вам потрібні права адміністратора, які права адміністратора більше не потрібні для роботи після зміни певних конфігурацій і які ви можете негайно видалити. Вони ні в якому разі не повинні бути вилучені без відома користувача.
Скажіть начальнику, що ви задумали і чому, і дозвольте йому схвалити справу, а потім працівникам. інформувати. Якщо цього не станеться, можуть виникнути проблеми.
Основні користувачі - це лише частково хороший спосіб, оскільки Windows дозволяє їм зробити себе адміністраторами, див. Статтю Марка Руссіновича.

Якщо ви більше не можете створювати папки після того, як права адміністратора були відкликані, як описано (де?), То вам слід, можливо, скинути права NTFS до стандартного встановлення або принаймні проаналізувати існуючі, див. Http://technet.microsoft.com /de-de/library/cc784993(WS.10).aspx

спасибі поки що !
До DerWoWousse (рогова назва:>)

Я знаю, на яких комп'ютерах я можу відкликати права адміністратора, все узгоджено з керівництвом !

Але коли я це зробив і дав користувачам права "досвідчених користувачів", вони могли створювати папки лише за допомогою c: \ Program Files. Крім того, я вважаю, що як основний користувач ви можете продовжувати встановлювати програмне забезпечення, чи я помиляюся?

це означає, що найкраще класифікувати як звичайного користувача або?

Що саме ви пропонуєте? ?
Це повинно бути таким чином, щоб користувач не міг нічого встановити і не повинен зберігати це на локальному жорсткому диску (щойно з’ясувалося в управлінні!)

Здрастуйте,
ти маєш рацію, хто знав, але, як він писав в останньому дописі, їм не слід дозволяти що-небудь встановлювати і не дозволяти що-небудь зберігати.

Наскільки мені відомо, ви не можете встановити той, який встановлений за допомогою Windows Installer, двома способами, як правило, заборонити інсталятор Windows або використовувати політику обмеження програмного забезпечення.

Але я щойно помітив, що все ще існує настанова "Не дозволяти встановлення користувача", яка також могла б досягти мети, однак в обох випадках вона завжди застосовувалася б до комп'ютерних об'єктів. оскільки користувач не повинен, але політика повинна бути створена для комп'ютерного об'єкта, оскільки немає іншого варіанту, принаймні після ретельного перегляду політики, і оскільки користувач не повинен нічого встановлювати на комп'ютері, повинна бути політика для бути комп'ютерним об'єктом.

З другим запитом стає дещо складніше, якщо є другий розділ, то я відкликаю відповідні права NTFS і, якщо потрібно, працюю з негативними дозволами.

З системним розділом я був би трохи перевантажений на даний момент, можливо, я працював би з фіксованим профілем та правами NTFS у поєднанні, можливо, також розмістив би мої власні файли на спільній.