Я не хочу, чтобы пользователи домена устанавливали новое программное обеспечение, поэтому я должен отобрать права администратора. Но некоторые приложения требуют прав администратора для пользователей. Как я могу отсортировать это?
Могу ли я создать новую локальную группу и предоставить определенные привилегии администратора?
Вполне возможно создать локальные группы и затем предоставить им права доступа к конкретным файлам (папкам, разделам реестра и т.д.), Но это всегда будет зависеть от требований приложения, и масштабируемость может стать проблемой. Так что я имею любой пример этих приложений, не стесняйтесь поделиться им.
Между тем, я могу предложить следующие решения для решения вашей проблемы:
Надеюсь, что это поможет.
В конечном счете, это зависит от того, насколько безопасна ваша среда. Для максимальной безопасности пользователь никогда не должен иметь административный доступ. Таким образом, лучший способ сделать это - заставить администратора запустить приложение, повысив его до уровня локального администратора (НЕ используя учетные данные администратора домена для предотвращения сброса пароля), а затем создав службу или что-то такое, что запускается от имени администратора, а затем запускает приложение. , Таким образом, у вас есть точный контроль зерна, и вы можете разрешить запуск приложения от имени администратора, не предоставляя пользователю права администратора и не подвергая себя всем видам атак, требующих привилегий администратора, таких как отравление ARP MITM, NBT-NS подмена и NTLMv2 MITM, сброс пароля и т. д.
Schtasks должен быть в состоянии сделать это: https://msdn.microsoft.com/en-us/library/windows/desktop/bb736357(v=vs.85).aspx
