新使用者帳戶擁有“太多”權限 Windows 7 Ultimate Edition SP1 x64
我在 WORKGROUP 模式(非 NT_Domain,非 ADDS 環境)下執行 Windows 7 Ultimate Edition SP1 x64(Build 7601)。我是這些機器和網路的管理員。我的設置只有幾台電腦(總共 4 倍,儘管計劃更多),所有電腦都在本地 LAN 上配置了相同/相似的設置 + 受限 Internet 訪問通過另一台非 Windows 自定義“WRT-ish”路由器設備機器過濾/防火牆,沒什麼特別的,到目前為止大部分是預設的 OOBE 設置,沒有本地 GPO(還…待定),受限制的 Powershell 腳本執行策略,最高 UAC,防火牆預設(在其他地方處理),管理員帳戶已禁用。
每台電腦都有多個使用者帳戶和一個作為本地管理員組成員的“BOSS”帳戶。我遇到的問題是使用者(其中一些是青少年……嘆息。)預設情況下,對電腦設置的訪問權限過多,包括日誌文件*/.log/.config*文件/WMI/CIM-Cmdlets/MMC /Powershell.exe/netsh.exe/CMD 等…
更糟糕的是(至少從我可以觀察/理解的情況來看,我覺得令人沮喪),Windows 非常寬容地“假設”我創建的每個新使用者現在都是機器的新“所有者”:(澄清我的意思例如最後一個更改睡眠/電源設置或 Internet 設置的使用者 –> 例如 CP 中的代理設置,然後這些設置將在全域範圍內應用並且“粘性”,直到其他一些錯誤更改它們。無論天氣如何,我都通過 MY Admin 設置它/老闆賬戶)
一位討厭的使用者曾經將 IE 首頁更改為http://www.b*ttl3guy.com 令人震驚的網站。另一個聰明的使用者訪問了另一個使用者的瀏覽歷史並通過他複製並粘貼到該 PowerShell Blue-Window-Console 中的 Powershell 腳本片段訪問了她的電子郵件(即使將 exec-policy 設置為 Restricted,這顯然只能阻止通過文件執行)。為什麼預設情況下允許所有使用者收集 WMI 敏感的系統資訊?AFAIK 至少在大多數 *Nix 系統上,即使是預設的 BASH 也不允許對基本使用者進行任何文件/目錄遍歷廢話。另外,您可以限制使用者可用的 Shell,並設置允許的最大程序等限制,也是 Skel 模板系統。抱歉,我將停止抨擊 Windows… 使用者顯然需要他們的 Candy-Cane Aero 桌面和 mIRC 以及稱為 Win-Amp 的東西,所以…(GroupPolicy 是設置這些限制的最佳方式嗎?)…
我意識到這些主要是我自己的誤解和非 Windows Exp。我只是發現 *Unices 更容易馴服……
現在我可以通過本地 gpedit.msc 為非管理員禁用 CP 但是,然後使用者可以繞過這個限制我確定使用 Win + R 或 Start –> cmd、%Windir%/System32/*.cpl 或 Powershell ETC…
我的問題是我可以將 Windows 設置為預設情況下假設我創建的每個新使用者都是來自地獄的邪惡惡意恐怖分子而不是機器的新“所有者”(允許更改電源設置/代理等……)?
我似乎找不到任何不涉及 AD 域的好文章
我的目標是一個系統,預設情況下,我創建的新使用者不能任意:
- 更改/訪問 CP 設置
- 訪問 CMD、MMC、Powershell(我意識到 Powershell.exe 實際上並不是讓使用者訪問它的內置 .Net Frame-Work 的罪魁禍首)
- 查看應用程序/系統/或任何其他日誌
- 訪問 WMI 或收集系統/其他使用者文件/日誌
- CTL-ALT-刪除 –> 任務管理器
- 查看/遍歷不在其“C:\Users\Little-Rugrat”鴿子洞中的其他目錄
- 啟動數千個程序
- 用色情/文件/隨機性等垃圾字節填充高畫質
本質上是一個警察國家:P
我意識到本地組策略可能可以完成所有這些,但沒有所需的域基礎設施,在這裡無法很好地擴展。我必須成為“實習生網路”並將每個 GP 應用於每台 PC 並保持同步……(我不明白管理模板是如何工作的。我仍在 Technet 上研究這個。(.ADM,.ADMX , .INF, .INI, .POL, 哪一個???)。有沒有人手邊有一個很好的樣本或連結到關於這個的好文件?)
或者也許是我不知道的 FOSS GPO “Pusher”…?
任何幫助/資訊/評論/指針/範例/範例配置文件將不勝感激。:)
PS:我幾乎只有以前的 Unix/Sun-OS/Solaris/Fedora/GNU-Linux Admin 經驗。對於任何不正確/誤用的 Micro$oft 術語,我們深表歉意。
PPS:我為一個小型青年中心管理系統,但沒有大量預算用於 MS-Domain/Server-ADDS Bloat-ware Setup。
我真的在努力遵守 KISS 校長…
謝謝你,
和問候。
溫迪·P·馬歇爾
考慮將機器設置為資訊亭,請參閱http://blogs.technet.com/b/keithmayer/archive/2012/08/03/building-public-kiosk-stations-with-windows-7-and-windows8- itpro.aspx 每個使用者都需要自己的登錄名有什麼原因嗎?