Windows
需要管理員權限的應用程序
我們有 AD 和 Windows 10,我們有一些應用程序由於未知原因需要管理員權限。是否有任何其他選項可以為使用者提供本地管理員?好的做法?我無法更改軟體。
有問題的應用程序可能不需要完整的管理員權限。這因應用程序而異,但通常只需要對應用程序儲存設置的正常防寫區域進行寫訪問。Programs Files、Program Files(x86)、ProgramData%APPNAME% 或系統資料庫配置單元中的某個位置。
在您的測試中,您應該從System Internals Suite中獲取ProcMon
確定應用程序使用管理權限訪問的位置後,在沒有權限的情況下重新測試,您將看到失敗的位置。當您比較兩個測試的輸出時,您可以在 AD 中為該應用程序創建一個安全組,並按該組將這些權限應用於這些位置。
授予應用程序管理員權限而不是使用者的問題在於,如果應用程序存在安全故障,那麼這些權限可以應用於由故障分叉的程序。
安全組的最佳實踐將是關於誰創建它的註釋以及用於查找安全團隊授權的票號,其中有關哪些位置需要訪問以及在什麼級別以及出於什麼原因的詳細資訊。您想要記錄,以便在發布應用程序的新版本時,您可以評估這些設置是否仍然需要。
如果您可以證明需要這些權限的軟體出現故障可能會危及公司的安全,則您可以更改軟體。然後你回到應用程序的開發者那裡,讓他們更新他們的應用程序,否則你會找到另一個解決方案。
當公司風險官員簽署允許比您作為系統管理員添加的更多權限時,您附加到安全組描述的票證可以包含所有這些資訊和文件。