Bagaimana cara saya menolak log masuk lokal tetapi mengizinkannya untuk peningkatan UAC pada Windows 7?

0

Saya ingin mengirim laptop keluar, tetapi saya tidak ingin mereka mengetahui kata sandi admin. Jadi, saya akan membuat akun lokal dengan admin privelage, tetapi saya akan mengizinkan mereka untuk menggunakannya hanya dengan izin dari departemen saya. Namun, saya tidak ingin itu digunakan untuk tujuan log in, tapi saya masih ingin itu digunakan untuk elevasi UAC ketika izin dari saya diberikan. Akun pengguna standar mereka adalah bagian dari domain.

Saya pergi ke Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignmentdalam gpedit untuk menolak masuk lokal, tetapi juga menyangkal ketinggian UAC. Apakah ini mungkin?

windows-7 uac group-policy Jon Weinraub
sumber
3
Jika mereka semua memiliki izin Administrator, mereka hanya dapat mengubah kata sandi akun Administrator. Mengapa mereka membutuhkan izin Administrator?
Ramhound
1
Saya sadar akan hal itu, dan saya memang menyebutkannya ke departemen saya, tetapi tidak ada yang menghentikan mereka untuk menggunakan penghapus kata sandi NT itu dari disk boot. Either way, selama mereka memiliki akses fisik ke mesin, mereka dapat menghapus kata sandi admin atau memberikan diri mereka akses admin. Itu adalah pekerjaan di sekitar untuk memungkinkan mereka melakukan hal-hal UAC dengan izin saya tanpa secara teknis memberi mereka kata sandi Admin aktual yang bertentangan dengan kebijakan perusahaan.
Jon Weinraub
Apakah itu akan memblokir akses F12 untuk menu boot Dell?
Jon Weinraub
Poin bagus. Karena mereka tidak akan menginstal ulang Windows jika tetap macet meskipun apa yang mereka pikirkan ...
Jon Weinraub
Dengarkan jika Anda ingin menjadi teknis tentang saya tahu apa yang bisa atau tidak bisa mereka lakukan. Apa-apa tentang menjadi omong kosong epik. Komentar menghina Anda lebih epik atas apa pun. Anda adalah orang yang menyebutkan bagaimana memerlukan akses BIOS untuk mem-boot CD jadi saya benar-benar tidak peduli jika Anda menaikkan atau menurunkan nilai ini, semua saya bertanya apakah itu mungkin, jelas tidak, jadi itu saja.
Jon Weinraub

Jawaban:

3

Anda secara teknis masuk sebagai pengguna lain untuk melakukan fungsi admin, itu sebabnya tidak berfungsi.

Sungguh, bahkan jika Anda berhasil melakukan apa yang Anda sarankan itu masih tidak akan menghentikan mereka, karena jika mereka memiliki kata sandi admin, mereka hanya dapat membatalkan apa pun yang Anda lakukan untuk menghentikannya (yaitu: menggunakan runasuntuk membuka utilitas untuk membuat pengguna admin lain, dan kemudian masuk dengan akun itu).

Mungkin sebagai gantinya, habiskan waktu dan energi Anda untuk mengimplementasikan akses jarak jauh ke mesin sehingga Anda dapat masuk dan melakukan hal-hal yang diperlukan admin, alih-alih menyerahkan kredensial admin.

Ƭᴇcʜιᴇ007
sumber
Kami memiliki TeamViewer di mana saya dapat melakukan hal-hal semacam itu, tetapi pengguna jarak jauh ada di lapangan dan dapat berada di mana saja di planet ini sehingga zona waktu menyebabkan faktor jika mereka perlu menginstal plugin baru untuk melakukan sesuatu dan mereka tidak dapat melakukannya. tunggu saya untuk login dari jarak jauh. Saya memahami masalah keamanan tetapi ingin tahu apakah itu mungkin dan karena saya pikir UAC menjalankan pengguna, saya pikir itu sebabnya tidak bekerja. Sebagai solusi nyata, saya dapat mengatur kata sandi dan setelah mereka menggunakannya, saya dapat mengubahnya dari jauh sehingga mereka tidak dapat menggunakannya lagi.
Jon Weinraub
Jika Anda memercayai mereka untuk memiliki kata sandi admin, maka Anda harus memercayai mereka untuk tidak masuk dengannya. Anda harus mulai melihat kebijakan orang-perusahaan daripada mencoba menangani ini melalui cara teknis seperti kebijakan grup. Bagaimanapun, Anda bertanya apakah yang Anda coba lakukan itu mungkin (tolak login untuk sebuah akun, gunakan untuk memintas cek admin), dan tidak ada yang tidak. Mungkin jika Anda mendekatinya dengan pertanyaan tentang masalah AKTUAL, alih-alih pertanyaan tentang solusi yang Anda usulkan, Anda mungkin lebih beruntung.
Ƭᴇcʜιᴇ007
Yah tidak ada masalah saat ini, selain jika mereka mendapatkan perangkat lunak baru yang mereka butuhkan untuk fungsi pekerjaan SETELAH meninggalkan saya, mereka harus menginstalnya. Jelas, seperti untuk instalasi internal, mereka mengirim tiket TI untuk menjadwalkan waktu bagi saya untuk menginstal. Di lapangan membuatnya lebih sulit, tetapi ada skenario di mana itu tidak mungkin dan dulu admin untuk semua remote tetapi perusahaan tidak mengizinkannya tapi pertanyaan saya lebih teoretis dan karena saya mendapat jawaban yang saya butuhkan itu apa aku s. Jika saya memiliki masalah aktual yang akan menjadi apa yang diposting. Terima kasih atas bantuannya
Jon Weinraub
0

Itu situasi yang sangat sulit. Apa yang DAPAT Anda lakukan adalah mengatur VPN kantor yang terhubung dengan pengguna jarak jauh dan kapan pun mereka memerlukan instalasi atau pemutakhiran, Anda dapat masuk menggunakan akun Anda sendiri (bagian dari grup keamanan AD) yang telah ditambahkan ke grup administrator lokal . Ya, ini berarti sedikit lebih banyak pekerjaan untuk Anda, tetapi Anda tidak perlu memberikan kata sandi admin atau memiliki akun lokal ...

Kinnectus
sumber
0

Saya mencari sesuatu yang mirip dengan ini untuk perangkat lunak UPS kami. Pada akhir hari ketika program ditutup perlu melakukan pembaruan, yang membutuhkan akun UAC.

Saya akan mencoba sesuatu yang mirip dengan jawaban @ brianeme. Saya akan mencoba meletakkan "shutdown -l" di HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Jalankan dan lihat apakah ini akan mencegah mereka masuk.

Saya tahu Anda dapat menahan shift atau mengontrol untuk mem-bypass ini, tetapi patut dicoba.

Terima kasih atas idenya!

Ini sepertinya berhasil. Log on selama beberapa detik, tetapi itu tidak benar-benar memberi Anda waktu untuk melakukan banyak hal.

sflesch
sumber
-1

Satu orang di situs ini http://www.vistax64.com/vista-security/108026-local-administravtive-users-uac.html menyebutkan bahwa mengganti shell dengan logoff.exe mungkin melakukan trik untuk pengguna lokal. Situs ini menjelaskan cara mengganti shell untuk pengguna melalui GPO. Tetapi karena Anda menggunakan pengguna admin lokal, tidak yakin apakah ini akan menjadi sesuatu yang dapat Anda terapkan.

http://msdn.microsoft.com/en-us/library/aa479087.aspx

brianeme
sumber
1
Kami berharap lebih dari satu tautan hanya menjawab di sini di Superuser.
Ramhound