A dob ablakok nem rendszergazdai fiókot

Mindenki tudja, hogy az egyik legfontosabb alapelve a hálózati biztonság, hogy az a lehető legkevésbé jogok: hogy hétköznapi felhasználók számára csak azok a jogok, amelyek közvetlenül szükségesek a munkájukat, és semmi több. Például, ha a hétköznapi felhasználóknak nem kell a hozzáférést a tárolt adatok a számvitel, nem ad nekik semmilyen jogot az erőforráshoz.

Az elv „a lehető legkisebb kiváltságokat” - több, mint egy biztonság elve, ez egy életmentő az adminisztrátor számára. Ennek az az oka abban a tényben rejlik, hogy a felhasználók - a furcsa lények, akik megpróbál mindent. Hogy a felhasználó egy helyi rendszergazdai jogokkal a számítógépen, és igyekeznek minden különböző dolgokat, mint például a további szoftverek telepítése, megváltoztassák a konfigurációs beállításokat, és még mászni a registry, hogy milyen lehet testre a legjobb teljesítményt a számítógép. Egy adminisztrátor szemszögéből ez lehet egy katasztrófa, mert rossz beállítás károsíthatja bizonyos alkalmazásokat, vagy akár a számítógép károsodhat. A felhasználó ezután kezd segítséget hívni, és Ön, mint rendszergazda, két lehetőség van: vagy, hogy törölje az autót, és újra telepíteni az operációs rendszert a szokásos képet a cég, vagy haszontalan időt tölteni órákig próbálják azonosítani a probléma okát. A második lehetőség - ez általában időpocsékolás, szemben a politika a vállalat, a felhasználó elmenti a fontos fájlokat a számítógépen vagy hálózati megosztáson. Az első lehetőség - ez gyakorlatilag a köpködés a szél ellen, akkor telepítse újra a felhasználó rendszerét, és ő is ismét szabadon azt ártalmatlanná.

Group Policy egyik módja, hogy meghatározzák, mi lehet és mit a felhasználó köze a számítógéphez. De mi van, ha a politika a vállalat (vagy kulturális, politikai vagy más valóságot) megkövetelik, hogy szükség van a lehetőség a felhasználó számára, hogy testre autóját? Ebben az esetben, akkor két lehetősége van, vagy, hogy a felhasználók helyi rendszergazdai jogokkal, vagy sem. mert Az első lehetőség a probléma, amiről beszéltem fent nézzük meg a lehetőségét, hogy egy második kiviteli.

Kényelmetlenség munkahelyi nem rendszergazda fiók

Ha nem jelöl ki egy felhasználói fiókot a domain, a helyi rendszergazda a saját gépen, a felhasználó elkezd hangosan panaszkodnak számos okból, melyek az alábbiak:

• Amikor megpróbálja telepíteni a szoftvert a gépen, a telepítési folyamat általában megáll, egy hibaüzenettel különböző.
• Amikor megpróbálja beállítani a dátumot és az időt a Vezérlőpult, megjelenik egy párbeszédablak, amely azt mondja, hogy nem szabad ezt tenni.
• Amikor megpróbálja beállítani a Energiagazdálkodási lehetőségek a Vezérlőpulton, meg tudják változtatni a beállításokat a GUI-t, de amikor az OK gombra kattint, a módosítások mentéséhez, hogy az üzenet Access Denied (Hozzáférés megtagadva).
• Ha meg akarják osztani a mappát a gépen, így a többi felhasználó is képesek elérni a fájlokat, nem tudnak csinálni, mert a tulajdonságok ablakban nincs fül Share.

Az utolsó három panaszok viszonylag könnyen bejárható (Megmutatom hogy abban az időben), de a probléma nem tudja telepíteni a szoftvert meglehetősen bonyolult, több okból is. Először is, a legtöbb szoftver (beleértve a Microsoft számos alkalmazás) csak helyi adminisztrátori jogokkal ahhoz, hogy be lehet állítani az összes változatban a Microsoft Windows. Ezen az alapon állunk szemben az a tény, hogy egyes alkalmazások szükség van egy speciális terület, hogy írjon a fájlrendszer és a registry. De nem ez az igazi oka annak, hogy az alkalmazás igényel rendszergazdai jogosultságokkal kell telepíteni, a valódi ok az, hogy a fejlesztők általában túl lusta, hogy vigyázzon a teremtés csomagok közül lehet választani, amelyek szintén nem működik, mint egy rendszergazda. Mindez többletmunkát jelent a fejlesztő (ami a legtöbb a fejlesztők igyekeznek elkerülni). De ez azt is jelenti, a fejlődés ezen alkalmazások is dolgozni, mint egy rendszergazda, ami ismét vezet, hogy szükség vigyázni sok - ha alkalmazást fejleszteni sokkal könnyebb bejelentkezve rendszergazdaként.

Nincs szükség szoftver telepítés rendszergazdai fiókot

Sajnos néhány program után lettek építve a Runas még nem fog megfelelően működni parancsok futtatásakor őket a jogait egy átlagos felhasználó. Ez azért van, mert ha használja a Runas paranccsal telepíteni semmit, néhány fontos beállításokat menti a profilt a helyi rendszergazda, nem pedig felhasználói profil bejelentkezett az adott pillanatban. És persze, ez okozza a problémákat, amikor megpróbálja elindítani később telepített alkalmazás, mint egy normál felhasználó. Ismét a fejlesztő, aki írta a programot kellett volna vigyázni a megoldás erre a problémára, de miért aggódni, ha még mindig minden fut a Windows rendszerbe?

Én magam is találkoztam ezzel a problémával többször mind a harmadik féltől származó alkalmazások, és a .NET-keretrendszer alkalmazások, és ez frusztráló. Például az utóbbi időben azt akartam, hogy az elektronikus képzés fejlesztése az ASP.NET a Microsoft. Sajnos valamiért nem tudtam letölteni során (.NET alkalmazás is), ha bejelentkezett egy tartományi felhasználói fiókot, így kinyitottam egy linket az Internet Explorer egy helyi rendszergazdai jogosultságokkal, és biztonságosan letölteni tanfolyamok. De amikor megpróbáltam futtatni egy tanfolyam helyileg a gépemen, nem indul el, amikor megpróbáltam csinálni, mint egy átlag felhasználók. Így próbáltam használni a Runas, hogy fut a pálya, mint egy rendszergazda, de még mindig nem indul. A végén jöttem ki a rendszer, ment, mint egy rendszergazda, hogy kezdődjön meg a munka. Rémálom! Talán, ha megvizsgálták a problémát tovább, azt találtam ki, hogy miért nem működik az első alkalommal, de ez egy jó illusztráció, amiért a legtöbb ember dolgozik minden alkalommal a Windows-rendszergazda, ha nem rendszergazda, akkor kiad egy csomó időt hogy a dolgok.

füstölt hering

Sőt, és ez az, amit csak nemrég jött kell tekinteni, a szakértők a biztonság, akkor lehet, hogy az egész probléma minimális jogosultságokat, csak egy vörös hering. Természetesen, ha be van jelentkezve ügyintéző, és megy az internet, a különböző csúnya oldalakat és letöltött egy vírus, a vírus lesz az irányítást a rendszer a saját jogait, vagyis rendszergazda. És ha egy normál felhasználó, és megy ugyanazon a helyszínen, a vírus kerül korlátozott hozzáférés (szintű domain felhasználói jogosultságokat) a rendszer, így az esetleges veszélye is csökken. A valóság ennél sokkal bonyolultabb. Ha rosszindulatú kódot, amit letöltött - egy féreg, amely kihasználja gyenge a szolgáltatás a Windows, nem számít, amelynek értelmében fiókba bejelentkezve.

Ezen túlmenően, a legokosabb hackerek már dolgoznak az új lehetőségeket, amelyeken keresztül a hacker képes rögzíteni a kódrendszert, még ha dolgozik is, minimális jogokat. Ezért kilépés lehetősége legkevésbé privilegeUserAccount (LUA) Longhorn (jelenleg Windows Vista), aki nem hajlandó elavult a Kiemelt felhasználók csoport, és lehetővé teszi a telepítés és üzembe LUA-kompatibilis alkalmazások szabványos felhasználói jogokat, sőt, nem csodaszer biztonsági kérdések körüli használatát legkevesebb jogosultság . Arra lehet fogadni a dollár alján, hogy a rossz fiúk fogja találni az új lehetőségeket, hogy betörjön a rendszer.

Ezért, bár a legkisebb jogosultság - ez egy jó megoldás. De ez nem fog sokáig tartani. De más szóval, akkor még mindig úgy a stratégia a „legkevesebb jogosultság”, mint egy egyszerű orvosolni a hackerek ellen.

néhány ezek megoldásai

Amíg itt vagyunk, észre, hogy a könyvtárszerkezetre IE megjeleníti a Vezérlőpult csomópontot. Válassza ki a csomópont és a jobb oldali ablakban látni fogja a kisalkalmazások a Vezérlőpult parancsra. Próbálja meg módosítani a dátumot és az időt - ez működik! mert IE fut rendszergazdai jogosultságokkal, az összes alkalmazást, amelynek az elérése, beleértve a Vezérlőpult, akkor is futni ezeket a jogokat. Ugyanez a helyzet az Energiagazdálkodási lehetőségek, és hálózati rendszer, és más applet, amit csak korlátozottan férnek munkahelyi nem rendszergazda.

Van azonban egy még egyszerűbb módja (munkába IE, de egy kicsit zavaró, ha iexplore.exe nem a rendszer könyvtár), amelyre szükség van a következőkre:

1. Jelentkezzen ki, majd jelentkezzen vezetője.
2. Nyissa meg a Windows Explorer
3. Válassza az Eszközök. majd a Mappa beállításai. Ezután megtekintése. jelölje be a négyzetet „Launch mappába windows egy külön folyamatban”
4. Lépjen ki a Windows Explorer, kilép a rendszerből.

Most, ha vissza, mint egy átlagos felhasználó, akkor kattintson a jobb egérgombbal az explorer.exe (vagy a címkét), válassza a „Futtatás ...”, adja meg a rendszergazdai jogosultságokkal, és a Windows Explorer most fut, mint egy rendszergazda.

következtetés

Windows nem rendszergazda fiók - egy kihívás, és amíg ez hozza a maga előnyei, lehetséges, hogy tolerálja a hiányosságokat. Ezen kívül ezek az előnyök nem olyan nagy, mint mondják, sok biztonsági szakértők, és csak akkor fog működni, amíg a rossz fiúk, nem talál új utakat, hogy megkerülje a biztonsági rendszer.

Mit van tapasztalata foglalkozik ezzel a problémával? És te ezzel kényszerítve a felhasználókat nem fut a helyi rendszergazda fiók? Mi nehézségek találkozott ezzel? És hogyan próbálták megoldani ezeket a problémákat? Írj nekem ez az egész, és én összegyűjtöm az összes választ az alábbi cikket WindowsNetworking.com, ahol ismét vegye fel a kérdés a munka nem rendszergazdai fiókot.

Kapcsolódó cikkek

• Hogyan hozzunk létre egy helyi fiók a windows 10

• Hogyan változtassuk meg az alapértelmezett WordPress admin fiók

• A program futtatása nevében egy másik felhasználó, Encyclopedia ablakok