Impedire i privilegi di amministrazione locale per i nostri utenti di dominio

Sto cercando le possibili soluzioni per impedire i privilegi di amministrazione locale per i nostri utenti di dominio. Attualmente, forniamo ai nostri utenti di dominio privilegi di amministrazione locale per evitare problemi con applicazioni diverse. Alcune applicazioni non verranno avviate o funzionano correttamente senza i privilegi di amministratore locali.

Ora sono interessato allo stato attuale delle tecnologie o delle migliori pratiche per evitare tali tipi di permessi. Ad esempio, vorremmo limitare le autorizzazioni locali e proibire l'installazione e l'esecuzione di applicazioni non attendibili.

  • Il mio amministratore del server desidera impostare le autorizzazioni di scrittura pubbliche in una directory
  • Come get un'istanza di istanza di un EC2 Windows macchina in una variabile batch
  • una volta in una mentre l'applicazione windows / .net ignora la bandiera fin del tcp
  • Come gestisci le credenziali dell'account di servizio (password)?
  • Facile proxy TCP su Windows?
  • Service Experience Experience di Windows
  • Ho trovato le politiche di restrizione del software e AppLocker e MDOP da Microsoft.

    Quali tecnologie e le migliori pratiche potreste raccomandare?

    2 Solutions collect form web for “Impedire i privilegi di amministrazione locale per i nostri utenti di dominio”

    Utilizzare processmonitor e consentire il diritto solo where ne hanno bisogno. (ace il file hive del file e la cartella di file) Ciò può essere fatto tramite gpo per dare quei tipi di autorizzazioni. Lo ha fatto per acad in esame, e ora che funzionano bene senza il diritto di amministratore.

    Sappiate che questo è un process lungo.

    Modificato: Prova anche App-V, anche se l'applicazione può funzionare come admin come è tutto pre-cache. Così come se scrivesse in c: \ windows è reindirizzato nella sua cache.

    Che yagmoth555 ha detto. Abbiamo usato questo – assegna i privilegi amministrativi ai processi, non agli utenti. (Mi è stato chiesto innanzitutto di concedere questi privilegi agli installatori di software.) Prima di averlo fatto, abbiamo sperimentato quali directory / chiavi di registro ecc. whereva essere scrivibile dagli utenti per il funzionamento specifico del software, che di solito (ma non sempre) ha funzionato.

    Dico comunque che il modo migliore per impedire agli utenti di installare crud sulle loro workstation è qualcosa di simile:

    $AcceptableAdmins = "YourDomain\Domain Admins", "YourDomain\Someuser", "YourDomain\Someotheruser" $members = net localgroup administrators | where {$_ -notmatch "command completed successfully"} | where { $AcceptableAdmins -notcontains $_} foreach($member in $members) { net localgroup "power users" $member /add net localgroup administrators $member /del } 

    (Sospetto che non sia quello che stavi cercando, ma nella mia esperienza è il più efficace.)

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.