В Windows Добавление учетной записи домена в группу локальных администраторов. Какие проблемы могут возникнуть?
Я работаю ИТ-специалистом, и у каждого сотрудника в моей компании есть учетная запись домена (Windows Server 2003). Многие люди хотят установить новое программное обеспечение для своих профессиональных нужд, и я должен быть там только для того, чтобы написать пароль администратора.
Это очень раздражает, и я решил, что предоставлю некоторым пользователям привилегию устанавливать новое программное обеспечение (только людям, которым я доверяю и чьи компьютерные способности выше среднего, поэтому я знаю, что они не будут устанавливать глупые вещи или вирусы).
Я обнаружил, что единственный способ сделать это - добавить учетную запись пользователя домена в группу локальных администраторов своего компьютера. Я немного неохотно, потому что я не знаю, какие могут быть недостатки этой стратегии.
Можете ли вы дать мне несколько сценариев, где этот шаг был бы плохой идеей? Я повторяю, что предоставлю эту привилегию только тем людям, которые, как я знаю, не будут устанавливать вредоносное ПО.
1 ответ
Представьте себе худшее, что может случиться с компьютером. Это то, что может произойти, если вы предоставите пользователю права администратора. Вы даете им главный ключ. Есть ли какие-то изменения, которые вы не хотите, чтобы ваш пользователь делал? Это не важно Вы не можете остановить администратора.
Они могут отменить, обойти, победить и обойти все, что вы положили на компьютер. Это включает обход групповой политики в доменной среде.
Кроме того, любое вредоносное программное обеспечение, с которым они сталкиваются, наследует свои административные разрешения, и оно также будет свободно господствовать над компьютером.
Если есть какие-то хорошие новости, это то, что их административные разрешения применяются только к локальной рабочей станции. Быть локальным администратором на одном компьютере не дает пользователю права администратора на другом компьютере.