web-dev-qa-db-ja.com

ベストプラクティス-Windows7 Remote RoadWarriorラップトップのユーザー権限

オフィスにいないリモートユーザー向けにラップトップをセットアップする際のベストプラクティスと見なされるものに興味があります。 Windows 7のUACでは、標準ユーザーは実行できる操作が大幅に制限されています。 UACをオフにしたり、ユーザーを管理者にしたりしたくない場合、基本的なアクセス権を与えながら安全を維持するためにどの設定を変更しますか?

私が最近遭遇したいくつかの欲求不満は次のとおりです。

  • ユーザーは管理者権限なしでホームプリンターをインストールできません
  • ユーザーは管理者権限なしで破損したBluetoothキーボード接続を削除できないため、キーボードを再結合できます
  • ユーザーはデスクトップからグローバルショートカットを削除できません
  • 管理者パスワードの入力を求められると、UACはVNC接続を介したアクセスを遮断します

上記のリストは無期限に拡張できます。一般に、管理者アクセスがせいぜい困難な制限付きユーザーとして外出するためにラップトップ/ノートブックを準備するために、どの設定と権限を変更しますか?

管理者として、ユーザーがオフィスにいないときや、単純なリモートデスクトップ接続を使用していないときに、どのようにしてユーザーのニーズを満たし、サポートを容易にしますか?

windows-7permissionsremote-accessremoteuac
4
bendiy

これらのタイプのアクティビティに使用できる管理者権限を持つ別のアカウントを提供します。ユーザーは、そのアカウントを使用してネットワークリソース(ドキュメントや電子メール)に簡単にアクセスできないため、常に使用する傾向はありません。特権アカウントは、主にUACプロンプトに使用できます。また、エッジが限られている場合は、フルデスクトップでログオンすることもできます。

アカウントがドメインアカウントの場合、(資格情報をキャッシュするために)使用できるようにするには、ネットワークに接続している間に少なくとも1回ログに記録する必要があります。

これを機能させるには、グループポリシーを使用してAdministratorsグループを適用するか、Administratorsグループに自分自身が追加されていないことを確認するための監査が必要になることに注意してください。さまざまなアプローチがあります。

実際には、各コンピューターで同じアカウント名を持つローカルアカウントを使用してこれを行います。これにより、GPO施行の構成が簡単になります。ただし、ローカルアカウントのパスワードローテーションに関連する管理上の問題があります。ユーザーがローカルアカウントのパスワードを管理することに問題がない場合は、ローカルアカウントのアプローチがおそらく有効であり、ローカルアカウントでキャッシュされた資格情報について心配する必要はありません。

また、パワーユーザーグループにはWindowsでの権限がないことを知りたいと思うかもしれませんXP(ありがたいことに))しかし、本当に足を踏み入れたいのであれば、システムファイル、フォルダ、レジストリ設定、および権限にセキュリティテンプレートを適用して、パワーユーザーに以前のレベルのアクセスを許可することができます。

Windows Vistaのパワーユーザーグループから権限と権限が削除されました
http://support.Microsoft.com/kb/202849

ユーザー権利
http://technet.Microsoft.com/en-us/library/dd349804%28v=ws.10%29.aspx

4
Greg Askew