Сокращение прав пользователя
Модератор: Модераторы
Сообщений: 7
• Страница 1 из 1
sea » 15 июл 2005, 11:49
После применения политики все пользователи были исключены из групп администраторов и опытных пользователей локальных машин (как в общем то и положено).
Возникла проблема с некоторыми приложениями (со многими но далеко не со всеми).
При установке требуют админских прав - это не проблема.
Проблема в том, что даже если пользователю временно давать админские права включая его в группу администраторов локальной машины (w2k - xp), то после исключения его из этой группы приложение теряет доступ к нужным ему ключам реестра.
Пока выкручиваюсь так: аудит - список ключей, к которым требуется доступ, даю права локальной группе "Пользователи".
Но это все долго и муторно. Станций много, приложений тоже. Может есть способ попроще?
При установке права на эти ключи даются не конкретному пользователю, под которым все это ставиться, а локальной группе администраторов. Как это победить?
Возникла проблема с некоторыми приложениями (со многими но далеко не со всеми).
При установке требуют админских прав - это не проблема.
Проблема в том, что даже если пользователю временно давать админские права включая его в группу администраторов локальной машины (w2k - xp), то после исключения его из этой группы приложение теряет доступ к нужным ему ключам реестра.
Пока выкручиваюсь так: аудит - список ключей, к которым требуется доступ, даю права локальной группе "Пользователи".
Но это все долго и муторно. Станций много, приложений тоже. Может есть способ попроще?
При установке права на эти ключи даются не конкретному пользователю, под которым все это ставиться, а локальной группе администраторов. Как это победить?
Правильно настроенный бэкап значительно сокращает трафик форумов.
sea » 15 июл 2005, 12:20
slz
Не на много быстрее, к тому же будет дан доступ к ключам, к которым доступа и не надо. В аудите же, при логах только на отказ все и так прекрасно видно, и именно те ресурсы, к которым доступ необходим.
Можно, конечно и в GPO раздавать, но приложения стоят самые разные на разных станциях. ключей бывает несколько сотен, особенно если программа регистрирует свои классы. Не давать же доступ на всю ветку REGISTRY\MACHINE\SOFTWARE\CLASSES!
А если заносить каждый ключ по отдельности, то, во первых так же долго, а во вторых, представь сколько эта политика будет применяться при входе!
Хотелось бы, чтобы все нужные права давались сразу при установке.
Не на много быстрее, к тому же будет дан доступ к ключам, к которым доступа и не надо. В аудите же, при логах только на отказ все и так прекрасно видно, и именно те ресурсы, к которым доступ необходим.
Можно, конечно и в GPO раздавать, но приложения стоят самые разные на разных станциях. ключей бывает несколько сотен, особенно если программа регистрирует свои классы. Не давать же доступ на всю ветку REGISTRY\MACHINE\SOFTWARE\CLASSES!
А если заносить каждый ключ по отдельности, то, во первых так же долго, а во вторых, представь сколько эта политика будет применяться при входе!
Хотелось бы, чтобы все нужные права давались сразу при установке.
Правильно настроенный бэкап значительно сокращает трафик форумов.
- slz
- Активный пользователь
- Сообщения: 1229
- Зарегистрирован: 08 июл 2004, 06:17
- Откуда: Новосибирск
slz » 15 июл 2005, 12:23
sea
Тады на каждую кривую софтину пиши скрипт котрый будет править права на NTFS и ветки рееста и запускай после установки.
Автоматизации тут нет, это криворукость программеров и исправить могут это только они.
Тады на каждую кривую софтину пиши скрипт котрый будет править права на NTFS и ветки рееста и запускай после установки.
Автоматизации тут нет, это криворукость программеров и исправить могут это только они.
sea » 15 июл 2005, 12:31
slz
| Цитата | ||
| это криворукость программеров
[/quote] Это то понятно.
|
