Felhasználói fiókok jogkörének korlátozása

Microsoft Windows

Sziasztok!

Nemregen kezdtem el dolgozni 2 szallodanak , lenyegeben az informatikai rendszerükért vagyok felelős.

Fixen van 15 db gép , ami az alkalmazottak végzik a munkályukat , könyvelés , számlázás, adminisztráció.

Sajnos túl sok a szabadidelyük , és rengeteg hülyeséget telepítenek a gépekre , mint pl: torrent kliens, mcafee toolbar , ask.com toolbar , stb... amik teljesen tönkre vágják az egyébként jól működő rendszereket.

Azt szeretném megvalósítani valamely felhasználói program segítségével ,hogy ezeken a gépeket az accountokat kontrollalni tudjam. Vagyis azon alkalmazasok tudjanak futni amelyek rendszergazda jogot igenyelnek , viszont a telepitesek , rendszermodositasok mar meg legyenek tagadva a usertol , csak akkor tudjon telepiteni/konfiguralni rendszer szinten , ha authentikalja magat jelszo , vagy barmely mas metodus segitsegevel.

Eloszor a domain loginon gondolkodtam, de 7+8 gep miatt nem fogok komplett domain controller szolgaltatast beinditani , mert szerintem nem erne meg.

Ha esetleg tudtok olyan szoftverrol (az se baj , ha freeware :) ), vagy modszerrol, amivel ezt meg tudom valositani , akkor írjátok le legyetek szivesek , hatha tudnank erre valami optimalis megoldast talalni. :)

Köszönöm előre is a segítséget!

Sziasztok!

  • 17401 megtekintés

( lajos22 | 2013. 03. 12., k – 20:29 )

Javaslom, hogy ne a gépeket babráld, hanem add elő a vezetésnek, hogy rakjanak ki ilyen figyelmeztetést: Ha még egyszer valaki gépe tönkre megy olyan baromság miatt, akkor a fizetéséből -10% levonás, második alkalomnál -20% stb. Szerintem elég lenne a figyelmeztetés.

--
openSUSE 12.2 x86_64

Neked nem hiszem, hogy lenne jogkorod a szamonkeresre. De megbeszelheted a vezetoseggel. Nekik ez is az egyik feladatuk. Ha megertettek, mint tanacsado, segits nekik egy policy kidolgozasban es mond el, hogy te mit es hogyan tudsz korlatozni, betartatni IT szinten. Ha tetszik nekik es vallaljak, akkor jo, ha nem, akkor marad a human oldal es az ismetelt jelzesek, hogy mi, kivel es mikor volt a gond.
Korlatozni nem neked kell, te csak az eszkozt biztosithatod hozza.

Jogilag nem áll meg a dolog, úgyhogy per prompt hülyeség. A jogosultságok korlátozásával, illetve megfelelő audit eszközökkel (telepített programok listájának napi ellenőrzése pl.) rendet lehet tartani.

Ami még célszerű lehet, az az OS+alkalmazások (c:\) és a felhasználói adatok (Documents And Settings) külön partíción tartása - ezzel az OS+appok elég gyorsan gyalulhatók/újrarakhatók.

Nem áll meg az, hogy amit a munkavállaló tönkretesz, fizesse is meg? Tehát nálatok úgy megy, hogy mikor épp kedved van hozzá, akkor kivágod a főnök székét az ablakon, és még meg is köszöni, majd vesz egy újat (nem mellesleg még üvegeztet is) saját zsebből?

--
openSUSE 12.2 x86_64

( gyrgyvrs | 2013. 03. 12., k – 20:39 )

XP vagy Windows 7 amúgy? Windows 7-nek mintha fejlettebbnek tűnne a felhasználókezelése.
Samba 4 valamilyen linuxon?

( Balu007 | 2013. 03. 12., k – 20:53 )

munkalyukat, szabadidelyuk...
Szerintem a heJesirasellenorzot hagyd futtatni nekik es magadnak is...

+1
Én 4db kliens gép mögé tettem Sambára egy domain controllert pont a központi jogosultságkezelés miatt.
A sima irodai felhasználóknak meg csak alap user jog, nem admin! Persze, itt jönnek be azok a problémák, hogy bizonyos (régebbi) programok nem hajlandóak normálisan működni teljes rendszergazdai hozzáférés nélkül, erre viszont lehet programonként külön engedélyezni.

http://hup.hu/node/21852?comments_per_page=9999

Komolyan nem hiszem el, hogy ezt ennyire nehéz betartani.
Baromi unalmas már, hogy releváns hozzászólások helyett magyar nyelv órát kell olvasgatni.
Lehet, hogy diszlexiás. Erre nem gondolsz? (bármennyire is nem típushiba az, amit vétett)

Tehát: Te hogyan oldanád meg a felhasználók telepítési korlátozását?

Koszonom az eszrevetelt. Elolvastam...

"A hozzászólásokban levő helyesírásra, és nem a cikk tartalmára vonatkozó írások (offtopic) azonnal, figyelmeztetés nélkül törlésre kerülnek!"

Ezek szerint nem csak neki lenne szuksege helyesirasi szotarra, hanem nekem is egy ertelmezo szotarra, mert az

AZONNAL

nalam mast jelent.

Nyilvan torlesre kerul a helyesirasi bejegyzesem, valamint ezen bejegyzesem is, hiszen ez sem a cikk tartalmara vonatkozik.

U.i.: a birtokos szemelyjel helytelen hasznalata azert nem osszeegyeztetheto egy onallo szo helytelen irasaval.
Jelesul: muszaLY, komoJ

( n.balazs v | 2013. 03. 12., k – 21:04 )

Kulcsszavak: domain, mandatory profil, GPO (házirend), NTFS jogosultságok.

( joco01 v | 2013. 03. 12., k – 21:26 )

Egyszerűen ne adj nekik admin jogot, probléma megoldva. Kicsit leegyszerűsítve, ha admin joguk van, akkor hiába teszel fel bármi tiltást, mert azt ki tudják kapcsolni.

--

( kallaics | 2013. 03. 12., k – 21:31 )

Ha normális út nem segít és nem akarsz tartományvezérlőt javaslom a vbscipt tanulmányozást. Én elég sok dolgot meg tudtam oldani vele. Tudsz vele local policy-t szerkeszteni / registry /, így minden gépen ugyyanazokat a beállításokat nem kell beállítanod egyesével. A gépeken odamész egy pendrive-al és lefuttatod az előre kitesztelt scriptet és kiveszed a felhasználókat az adminisztrátor csoportból csak sima userek legyenek, ha ez nem így van.

A tartomány vezérlő lenne a legjobb megoldás, van "ingyenes" és használható, még ha nem is tökéletes. Zentyal a kulcsszó,ami esetleg szóba jöhet.

( rts | 2013. 03. 13., sze – 07:43 )

MuszáLY hogy hozzászóljak. Az általad felsorolt programok (és említsük meg pl. a skype-ot is a sorban) NEM igényelnek admin jogot a telepítéshez. Sima mezei nyúzer felrakhatja őket, és még nem soroltam a kismillió portable programot. Gondold át újra mit is akarsz és guglizz sokat. A mandatory profile pl. jó ötletnek tűnik, de ezzel tenger gondod lesz és napi szinten állítgathatod. (GP-ről nem is beszélve.) Első lépés: domaines környezet vagy egy megfelelő szoftver megvásárlása, amivel központilag felügyelheted a gépeket.
--
#conf t
#int world
#no shut

( mrceeka v | 2013. 03. 13., sze – 08:13 )

Valóban így van, számos nem kívánt program használható rendszergazdai jog vagy telepítés nélkül.
Ennek megoldására szolgál az AppLocker, ami Windows Enterprise képesség.
Windows Enterprise-hoz jutni legegyszerűbben Windows Intune-nal tudsz ilyen környezetben, ami a gépek menedzselését is radikálisan leegyszerűsíti, ráadásul a mindenkori legfrissebb Windows-t használhatod.

Ráadásul a System Restore segítségével a jól beállított környezetről készíthetsz egy Restore Point-ot, amire visszatérhetsz, ha szétrombolták a gépet. A felhasználók file-jait az ilyen visszaállítás nem érinti.

Üdv,
Marci

A Microsoftnál dolgozom.

( hokuszpk | 2013. 03. 13., sze – 08:32 )

az ask toolbart a javaupdate pakolja fel, a mcafee hulladekot meg a flashplayer.

( krobi | 2013. 03. 13., sze – 10:07 )

Windows SteadyState esetleg, nem írtad vagy csak nem olvastam milyen windows verziókat használsz
http://www.microsoft.com/hun/biztonsag/csalad/steadystate/
pár gépes környezetben jól használható, bármit is telepít vagy állít el a user, újraindítás után minden visszaáll az eredeti állapotba, persze ez csak egy lehetőség

( vlezlee | 2013. 03. 13., sze – 14:53 )

"Fixen van 15 db gép , ami az alkalmazottak végzik a munkályukat , könyvelés , számlázás, adminisztráció."
Ezek tipikusan olyan dolgok, amikhez nem kell admin jog. XP-nél korlátozott, Win7 és újabbnál általános jogú felhasználó a kulcsszó, állítsd át a profilok típusait és csak azokhoz a mappákhoz adj nekik teljes hozzáférést, amire szüksége van (könyvelőprogram ...stb). Ez nem igényel plusz beruházást, de minden frissítést és telepítést Neked kell megcsinálni, ami nem feltétlenül baj.

"Eloszor a domain loginon gondolkodtam, de 7+8 gep miatt nem fogok komplett domain controller szolgaltatast beinditani , mert szerintem nem erne meg."
Ennyi géphez azért nem ártana egy szerver, amin közösen is tudnak esetleg dolgozni, láttam márolyan puruttya megoldást, ahol minden gépen meg volt osztva a c meghajtó.