Impedire i privilegi di amministrazione locale per i nostri utenti di dominio

Sto cercando le possibili soluzioni per impedire i privilegi di amministrazione locale per i nostri utenti di dominio. Attualmente, forniamo ai nostri utenti di dominio privilegi di amministrazione locale per evitare problemi con applicazioni diverse. Alcune applicazioni non verranno avviate o funzionano correttamente senza i privilegi di amministratore locali.

Ora sono interessato allo stato attuale delle tecnologie o delle migliori pratiche per evitare tali tipi di permessi. Ad esempio, vorremmo limitare le autorizzazioni locali e proibire l'installazione e l'esecuzione di applicazioni non attendibili.

Ho trovato le politiche di restrizione del software e AppLocker e MDOP da Microsoft.

Quali tecnologie e le migliori pratiche potreste raccomandare?

  • Utilizzo di Chef per il backup di configurazioni di Windows Server - AD, DNS, IIS, DHCP, Exchange del lotto
  • Perché MPIO invece di Team 802.3ad per iSCSI
  • Le nuove regole firewall di Windows influiscono sulle connessioni attualmente aperte?
  • Quale file system utilizzerebbe quando è necessario condividere i dati tra linux e windows nella configuration dual boot?
  • Quali sono le migliori pratiche per eseguire Windows Update su un server Hyper-V con l'esecuzione di VM?
  • Vedere la descrizione del computer di networking in Esplora risorse
  • Backup di copia shadow del server di archivio 2003 eliminato
  • Come riavviare un server quando non sei locale a questo?
  • 2 Solutions collect form web for “Impedire i privilegi di amministrazione locale per i nostri utenti di dominio”

    Utilizzare processmonitor e consentire il diritto solo where ne hanno bisogno. (ace il file hive del file e la cartella di file) Ciò può essere fatto tramite gpo per dare quei tipi di autorizzazioni. Lo ha fatto per acad in esame, e ora che funzionano bene senza il diritto di amministratore.

    Sappiate che questo è un process lungo.

    Modificato: Prova anche App-V, anche se l'applicazione può funzionare come admin come è tutto pre-cache. Così come se scrivesse in c: \ windows è reindirizzato nella sua cache.

    Che yagmoth555 ha detto. Abbiamo usato questo – assegna i privilegi amministrativi ai processi, non agli utenti. (Mi è stato chiesto innanzitutto di concedere questi privilegi agli installatori di software.) Prima di averlo fatto, abbiamo sperimentato quali directory / chiavi di registro ecc. whereva essere scrivibile dagli utenti per il funzionamento specifico del software, che di solito (ma non sempre) ha funzionato.

    Dico comunque che il modo migliore per impedire agli utenti di installare crud sulle loro workstation è qualcosa di simile:

    $AcceptableAdmins = "YourDomain\Domain Admins", "YourDomain\Someuser", "YourDomain\Someotheruser" $members = net localgroup administrators | where {$_ -notmatch "command completed successfully"} | where { $AcceptableAdmins -notcontains $_} foreach($member in $members) { net localgroup "power users" $member /add net localgroup administrators $member /del } 

    (Sospetto che non sia quello che stavi cercando, ma nella mia esperienza è il più efficace.)

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.