NK
Size: a a a
2020 May 19
DF
@denisyfrolov а ты?
Угу
SG
ты опоздал
SG
M
или при интерактивном логине?
интерактивный, по типу как окно uac, вот разрабу понадобилось поставить софт специфичный срочно, установка которого требует прав админа, жмакнул повысить права, они повысились. Допустим временно.
SG
локальная учетка с правами?
SG
это как бы правило хорошего тона даже дома
SG
иметь две учетки и отключенного администратора
M
локальная учетка с правами?
я думал об этом, чтоб лапсом менять пароли, и по запросу в сервис деск выдавать пароль от локальной учетки, который поменяется через день например
SG
restricted groups
SG
но аккуратно
SG
даже если занесут гпо вынесет все
EV
Нужно временно разрешать повышать права юзеру для каких-то узких задач, типа срочная установка специфичного софта. Безопасно, желательно через заявку в сервис деск. Сервис-деск умеет дергать PS скрипты.
Костыли конечно, но.
1. Спец. security group, отдельная от обычной группы безопасности для Helpdesk с учетками workstation admins
группу наполнять уже как хотите, дергать скрипты и т.д.
2. Группу добавить через функционал GPO Restricted Groups в группу локальных админов на нужных компах, с фильтрами по OU и т.д.
3. После срабатывания скрипта из п.1 через 60-90 минут вполне должен сработать Run As с правами админа по спец. доменной учеткой.
1. Спец. security group, отдельная от обычной группы безопасности для Helpdesk с учетками workstation admins
группу наполнять уже как хотите, дергать скрипты и т.д.
2. Группу добавить через функционал GPO Restricted Groups в группу локальных админов на нужных компах, с фильтрами по OU и т.д.
3. После срабатывания скрипта из п.1 через 60-90 минут вполне должен сработать Run As с правами админа по спец. доменной учеткой.
SG
вовней ты матчасть то учил?
SG
ты в курсе что пользака можно занести в группу на время?