Запобігати доступу інших адміністраторів до мого комп'ютера

0

Мій сценарій
Я розробник, що працюю з іншими розробниками у корпоративному середовищі. Всі ми маємо адміністративні повноваження на всіх комп’ютерах закладу.

Ми натягуємо на себе маленькі сварки, коли хтось залишає комп'ютер розблокованим. Наприклад, перевернути екран догори дном або встановити смішні хромовані розширення типу NCage. Наші єдині неписані правила: нічого шкідливого і жодного злому. Якщо ви залишите комп'ютер розблокованим, це ваше покарання, але ми не використовуємо свої повноваження адміністратора, щоб витягувати пустощі. Виправдання немає.

Один із наших співробітників почав використовувати повноваження адміністратора для входу на інші машини та зміни параметрів, включаючи налаштування реєстру. З нашою командою це не надто добре

Моє запитання
Чи існує спосіб запобігти доступу конкретних користувачів до комп'ютера, навіть якщо вони мають облікові записи адміністратора? Всі ми використовуємо акаунти Windows 7 AD.

windows-7  security  administration 
Frantumn
джерело
5
Якщо той "наш персонал" занадто дурний, щоб слухати ваше "Не робіть цього", існує лише один спосіб: донесіть його до HR. Іншими словами: "Якщо ви не знаєте, як себе вести, ви можете піти шукати іншу роботу". Не намагайтеся вирішити це за допомогою інструментів, це марна трата часу. Це те саме, що будь-який колега возиться з моєю машиною для розробників: він отримає лише одне попередження, тоді я розпочну офіційну скаргу з керівництвом.
Ян Догген
3
Вимкніть віддалений доступ на комп’ютері. Звичайно, це відключає віддалений доступ до комп'ютера навіть для вас. Здається, що ця особа не повинна бути адміністратором домену, ви повинні налаштувати робочий процес.
Рамхаунд
@JanDoggen Я частково погоджуюся. Ми не хочемо викликати погану кров, тому я спершу просто шукаю системний підхід. Я прочитав статтю чи дві, що передбачають, що цей запит неможливий, але це були старі повідомлення, тому я подумав, що запитаю на випадок, якщо є нові варіанти.
Frantumn
@Ramhound це не погана ідея. Але іноді ми працюємо за викликом і доводиться віддалятися до наших комп’ютерів від дому. Тож, на жаль, це не спрацює.
Frantumn
@Frantumn - Це означає, що немає жодного способу запобігти входу іншого користувача у ваш комп’ютер. Якщо всі користувачі є адміністратором домену, вони можуть змінювати всі налаштування в односторонньому порядку, те, що ви просите, неможливо без зміни робочого процесу.
Рамхаунд

Відповіді:

3

Ви (або ваша організація) зробили когось адміністратором на вашому комп’ютері. Іншими словами, ви встановлюєте "Я повністю вам довіряю. Ви можете робити все, що завгодно, на цьому комп’ютері, і я не можу це зупинити ».

І ти хочеш обмежити цю владу ...

Ці двоє не поєднуються добре. Або ви довіряєте йому / їй поводитися, або ви не робите його адміністратором. Спроба частково протистояти правам адміністратора - це програючий бій, і це бій, який ведеться з неправильними інструментами. Правильна відповідь - це не та, яка залежить від чогось технічного. Замість цього поговоріть з ним.

Якщо це не допоможе, то подумайте про відкликання всіх прав адміністратора або спілкування з персоналом.

Геннес
джерело
Справедливо. Я просто хочу, щоб був спосіб не зменшити загальні дозволи, а збільшити свої цінні папери на місцях, щоб не допустити доступу до цього користувача. Так що вони все ще будуть адміністратором на будь-якому іншому комп’ютері, але обмежені для моєї машини. Я розумію, що ти кажеш.
Frantumn
Остання може бути можливою для групової політики. Але тоді «зла людина» могла просто протистояти цьому. Так що так, ви можете зробити це важче. Але важче зробити щось не те саме, що «неможливо щось зробити»
Геннес
На щастя, на нашому рівні ми не можемо (або, можливо, варто сказати, не) змінити групову групу. Тож це може бути хорошим рішенням. Я поговорю з нашими адміністраторами системи про цей варіант. Дякую.
Frantumn
-1

Ви можете спробувати налаштувати групову політику

Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment\Deny access to this computer from the network

навіть редагувати значення на місцях, не турбуючи / не залучаючи ІТ, але я згоден, що це швидше питання HR, ніж технічне.

Патрік Сеймур
джерело
Чи не дозволить це мені перешкоджати виходу з дому?
Frantumn
Ви додасте обліковий запис іншої людини до цього списку, щоб спеціально заблокувати їх. Політика визначає список користувачів або груп, яким слід заборонити доступ з мережі.
Патрік Сеймур
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.