none
Privilegi limitati di amministratore locale RRS feed

  • Domanda

  • Buongiorno,

    all'interno della mia azienda, avrei la necessità di inibire la possibilità ad un gruppo limitato di utenti di installare programmi sui loro client.

    Purtroppo però, hanno la necessita di visualizzare continuamente eventi, chiavi di registro e modificare indirizzi IP delle schede di rete.

    Mi chiedevo se vi era la possibilità di limitare le restrizioni di un utente di dominio in modo tale da poter eseguire varie operazioni tranne l'installazione di software.

    Grazie

    Davide


    Davide

    martedì 23 giugno 2020 07:26

Tutte le risposte

  • Come regola nessun utente dovrebbe avere privilegi amministrativi perché in tal caso qualsiasi blocco che potresti inserire per inibire l'installazione di software (incluse group policy) potranno venire facilmente superate.
    Quindi la soluzione sarebbe rendere tutti gli utenti limitati e al massimo consentire manualmente solo un numero limitato di operazioni, anche se sinceramente la modifica di chiavi di registro da parte di semplici user mi sembra un po' eccessiva. Se si tratta solo di modificare i parametri delle schede di rete potrebbe essere sufficiente inserirli semplicemente nel gruppo built-in "Network Configuration Operators".
    martedì 23 giugno 2020 15:09
  • Grazie per il gentile feedback.

    In questo caso non si tratta di semplici user ma di utenti esperti.

    A livello di sicurezza vorrei comunque limitare le operazioni eliminando la possibilità di installazioni non necessarie e non gestite sui loro client.

    Siccome sono programmatori di PLC hanno la necessità di consultare eventi e modificare indirizzi schede di rete.

    Oltre al gruppo per modificare i parametri delle schede di rete esiste anche un gruppo per visualizzare gli eventi?

    Grazie


    Davide

    mercoledì 24 giugno 2020 06:27
  • E' necessario eseguire una modifica alle ACL del registro ma è possibile delegare anche la sola visualizzazione del registro eventi: https://support.microsoft.com/en-us/help/323076/how-to-set-event-log-security-locally-or-by-using-group-policy

    Una via di mezzo potrebbe anche essere quella di farli diventare membri del gruppo "Power Users" locale, qui puoi trovare un riepilogo dei privilegi: https://superuser.com/questions/241092/difference-between-power-user-and-administrator

    Per ragioni di sicurezza, sarebbe meglio non usare comunque questo gruppo ma è sicuramente meglio di concedere direttamente i privilegi amministrativi (che a mio parere non andrebbero consentiti in nessun caso, nemmeno ad utenti esperti). Non è tanto una questione di esperienza dell'utente ma anche (e sopratutto) di responsabilità in qualità di IT aziendale.

    mercoledì 24 giugno 2020 07:30
  • Come ti è stato già segnalato, il gruppo "Network Configuration operator" permette all'utente di cambiarsi indirizzo IP, personalmente, vista la necessità anche in azienda da noi, ho inserito il gruppo Domain Users all'interno di quel gruppo, per permetterne la modifica.

    Mentre per quanto riguarda l'event viewer, c'è il gruppo "Lettori registro eventi", magari ti riferisci a quello ?

    Invece per quanto riguarda l'installazione delle applicazioni, beh !! li non saprei, ma credo che l'unica strada percorribile sia farli diventare amminisratori.
    Se lavori con le ACL potresti fargli fare anche questo, ma per esperienza, piu complichi una cosa, più diventa un problema capire cosa non funziona quando hai un problema, oltre che a manutenere una situazione del genere.

    Ciao

    Umberto

    mercoledì 24 giugno 2020 11:41
  • Ciao,

    ho fatto quanto consigliato ossia inserire il mio utente non admin nei due gruppi "Lettori registro eventi" e "Network Configuration operator". Riesco a vedere gli eventi ma non riesco a modificare gli indirizzi IP della NIC del mio portatile siccome mi viene richiesta la password di admin.

    Mi sto perdendo qualcosa a livello di configurazioni?

    come posso risolvere?

    Grazie


    Davide

    venerdì 26 giugno 2020 14:29
  • Impossibile.

    Quando vai per configurare un indirizzo IP ti chiede le credenziali, a quel punto metti le credenziali dell'utente, le credenziali te le chiederà sempre, solo che a quel punto l'utente sarà autorizzato a compiere l'azione.

    Ricordati che non sei ADMIN ma sei un utente con la possibilità di cambiare un IP, quindi le credenziali dovrai inserirle sempre ogni qualvolta che vorrai cambiare IP.


    • Modificato UnclePear martedì 30 giugno 2020 11:03
    martedì 30 giugno 2020 11:00
  • Purtroppo, inserendo le mie credenziali domain user non mi permette di accedere e modificare gli IP della scheda di rete.

    Davide

    lunedì 6 luglio 2020 06:33
  • Hai inserito l'utente nel gruppo locale utilizzando lusrmgr.msc e l'account amministrativo?
    Successivamente hai riavviato il computer (non spento e riacceso)?
    Qual'è l'esatta versione di Windows?
    lunedì 6 luglio 2020 10:51
  • Hai inserito l'utente nel gruppo locale utilizzando lusrmgr.msc e l'account amministrativo? No. Ho solo aggiunto l'utente di AD nel gruppo "Network Configuration operator".

    Quindi mi dici che devo agire anche sulle permission dei gruppi locali oltre che su Active Directory?

    Windows 10 1909 (Build SO 18363.836)

    Grazie


    Davide

    lunedì 6 luglio 2020 12:17
  • Devi agire SOLO a livello locale, non serve modificare solo il gruppo di appartenenza dell'utente in AD. Se vuoi utilizzare AD perché l'autorizzazione deve esserci per tutti i pc del dominio, allora dovresti utilizzare una GPO per modificare l'appartenenza al gruppo locale.
    Per fare questo ti consiglio di seguire l'ottimo articolo creato da Nino:
    https://www.testerlab.it/2013/05/16/windows-server-2012-restricted-group/

    Ovviamente nel tuo caso non dovrai utilizzare il gruppo Administrators locale ma quello di Network Configuration.

    lunedì 6 luglio 2020 13:40