Работа не админом с User Account Control

Источник: OSZone

Меньшее количество пользователей с административными привилегиями является достойной целью для IT организаций. Однако, хотя IT администраторы в целом согласны, что ограничение пользователей до стандартного пользователя является верным поведением, примерно 80 процентов из них устанавливает настольные системы с административными пользователями, делая эти машины более подверженными вредному ПО и труднее для управления. Но избежать административного пользователя не так просто. Потенциальные проблемы, которые вы встретите, если попытаетесь, многочисленны.

Прежде всего, есть совместимость приложений. Поскольку многие приложения были написаны и тестированы, используя административного пользователя, они могут даже просто не работать под стандартными пользователями. (Это наиболее частый случай, потому что приложения пытаются писать в защищенные области такие, как каталог Program Files или ключ реестра HKLM.)

Во-вторых, ранние версии Windows были слишком ограничивающими в том, какие установки пользователям было позволено редактировать. Стандартные пользователи не могли менять временную зону, настройки питания, подсоединяться к безопасным беспроводным сетям или устанавливать ActiveX объекты, не позвонив предварительно в поддержку, с чем были связаны дополнительные расходы.

К счастью, Windows Vista обращается к этим проблемам. И даже если ваши пользователи не имеют административных учетных записей, User Account Control (UAC) и другие технологии управления в Windows Vista значительно упрощают поддержку и управление этими настольными системами, продвигают повышенную продуктивность для стандартных пользователей и делают это без ослабленной безопасности, что происходит, когда вы изменяете списки управления доступом (ACLs) - обычный способ предоставления пользователям большего, индивидуального доступа. Давайте взглянем подробнее на то, как Windows Vista снимает некоторые из ваших проблем с управлением доступом.

Виртуализация улучшает совместимость

Многие приложения, которые не могли выполняться в Windows XP под стандартным пользователем, смогут выполняться без изменений в Windows Vista благодаря возможностям виртуализации файлов и реестра. В Windows XP многие приложения ломаются, когда они пытаются писать в защищенные области файловой системы или реестра, к которым у стандартных пользователей нет доступа. Windows Vista улучшит совместимость путем переадресации записи (и последующего чтения файлов и реестра) в специальное место внутри профиля этого пользователя. Например, если приложение пытается писать в C:\program files\contoso\settings.ini и пользователь не имеет прав писать в этот каталог, запись будет перенаправлена в C:\ Users\ username \ AppData\ Local\ VirtualStore\ Program Files\ contoso \settings.ini. Если же приложение пытается писать в HKLM\Software\Contoso\, действие будет автоматически переадресовано в HKCU\ Software\ Classes\ VirtualStore\ MACHINE\ Software\ Contoso. Рис. 1 обрисовывает процесс переадресации. Вдобавок, программа Certified for Windows Vista Software Logo будет требовать, чтобы приложение выполнялось под стандартным пользователем без требования виртуализации; если же нет, логотип не будет присужден приложению.


Рисунок 1 Процесс виртуализации файлов и реестра
Рисунок 1 Процесс виртуализации файлов и реестра

Стандартный пользователь может делать больше

В Windows Vista учетные записи стандартного пользователя получили дополнительные привилегии, так что пользователи могут выполнять общие задачи без поддержки и без необходимости полного набора разрешений, обеспеченных административной учетной записью. Новые привилегии включают способность видеть системные часы и календарь, изменять временную зону, изменять установки безопасности для беспроводных сетей, изменять установки управления питанием и загружать и устанавливать критические обновления с Windows Update.

Дополнительно, дефрагментация является в Windows Vista автоматически запланированным процессом. Действия, которые требуют административных привилегий, помечены значком щита, так что пользователи могут видеть какие изменения конфигурации они могут, а какие не могут делать.

Установка ActiveX обьектов.

Объекты ActiveX могут быть особенно сложны для централизованного управления, поскольку они могут обновляться часто, и их нужно перепаковывать до того как они могут размещаться через программы размещения ПО такие, как Systems Management Server (SMS) или через Group Policy. Windows Vista включает необязательную компоненту называемую ActiveX Installer Service, которая позволяет IT администраторам использовать Group Policy для указания веб сайтов с которых стандартным пользователям будет разрешаться устанавливать объекты ActiveX. Для использования ActiveX Installer Service делайте так:

  • Включите ActiveX Installer Service на клиентских компьютерах. Вы можете включить этот сервис через апплет Windows Features Control Panel или когда вы конфигурируете образ вашей настольной системы.
  • В Active Directory Group Policy, в Computer Configuration / Administrative Templates / Windows Components, выберите ActiveX Installer Service. Выберите «Включено». Теперь, после того как политика реплицирована пользователям, они смогут устанавливать объекты с сайтов, которые вы укажете.

Поскольку объекты ActiveX и другой выполняемый код может выполнять злонамеренные задачи, используйте эту возможность подумав; используйте ее только для тех вендоров, которым вы доверяете, и только для intranet сайтов, находящимся под вашим строгим контролем.

ActiveX Control Installer Service также интегрирована с инфраструктурой событий в Windows Vista, так что вы можете получать автоматические оповещения, если есть объекты ActiveX, которыйе вашим пользователям нужно устанавливать. Когда стандартный пользователь пытается установить обьект, который не был утвержден, сервис создает событие в журнале приложений. В Windows Vista задачи могут быть сконфигурированы, чтобы автоматически посылать e-mail или выполнить другую программу как только событие произошло. Тогда в знаете, когда пользователь нуждается в обьекте, и вы можете добавить сайт в Group Policy без значительного времени ожидания для пользователя. С Windows Vista вы также можете подписаться на события от разных машин в пределах вашего предприятия и создать список всех обьектов, которые ваши пользователи пытаются установить.

Установка драйверов физических устройств.

Беспокойство о том, что пользователи не смогут установить драйверы устройств, которые им нужны в дороге является другой причиной почему административные права остаются популярными, особенно для пользователей лаптопов. Новая инфраструктура Driver Store в Windows Vista устранаяет это препятствие, позволяя гибкое управление тем, какие устройства стандартные пользователи могут устанавливать. Во-первых, вы можете предварительно заселить Driver Store надежными драйверами, так что пользователи смогут устанавливать разрешенные устройства, когда им понадобится. Во-вторых, вы можете использовать Group Policy, чтобы позволить стандартным пользователям устанавливать классы устройств, такие как принетры, или даже конкретные прожженые идентификаторы устройств, как, например, разрешенные флэш драйвы.

Поскольку Windows Vista Driver Store является доверенным кэшем драйверов, поставленных с компьютером и от других поставщиков, на жестком диске каждой клиентской машины, пользователи могут устанавливать их без административных привилегий. Чтобы поместить драйверы в the Driver Store, вы можете либо добавить их автономно, либо динамически обновить драйверы для онлайн клиентов через сеть. Для автономных образов, используйте Package Manager, чтобы без проблем разместить драйверы в Driver Store.

Для онлайн образов используйте утилиты командной строки, такие как pnputil.exe или DevCon в сочетании с приложениями размещения ПО для того чтобы добавить, обновить или удалитьдрайвер из Driver Store. Чтобы еще более упросить и добавить гибкости в процесс добавления драйверов, Windows Vista позволяет отделам IT и третьим сторонам возможность подписаться в целостности пакета драйвера.

По умолчанию, только пользователи с административными правами могут добавлять новые драйверы в Driver Store. Однако существует критическая потребность для пользователей, особенно для мобильных пользователей, устанавливать устройства вроде принтеров пока они в дороге. С новыми настройками в Group Policy, Windows Vista позволяет вам предоставлять стандартным пользователям гибкость, необходимую для установки разрешенных устройств, даже если драйверы уже не находятся в Driver Store. Чтобы делегировать привилегию включения драйвера устройств, откройте интерфейс Group Policy и пойдите в Computer Configuration / Administrative Templates / System / Driver Installation / Позволить неадминистраторам устанавливать драйверы этих устройств. Вам нужно будет знать GUID для классов устройств, которые вы хотите разрешить включать и инсталлировать стандартным пользователям. Вы можете найти эти классы устройств на сети в MSDN либо, если устройство установлено на вашей машине, пойдите в окно Device Manager / Properties. Нажмите на закладку Детали и выберите из списка Device Class GUID. Вам также надо убедиться, что сертификаты, использованные для подписания драйверов, уже находятся в хранилище Trusted Publishers клиентской машины, что можно контролировать при помощи Group Policy.

Эти улучшения в Windows Vista теперь предоставляют стандартным пользователям необходимую гибкость в установке устройств, так что вы можете перевести этих пользователей в управляемую среду настольной системы.


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=5293