Иерархия Привилегий Пользователей Windows

возможно ли в Windows создать "полу-администратора"? Например, можно ли создать дополнительную учетную запись администратора с единственным ограничивающим фактором, заключающимся в том, что она ниже в иерархии разрешений, чем исходная учетная запись администратора (т. е. она не может убивать какие-либо процессы, запущенные исходной учетной записью администратора, не владеть ее файлами и т. д.)

Я не могу найти никаких разговоров об этом в интернете и возникли проблемы с этим я.

Это должно работать в теории. Если Windows NT поддерживает что-то вроде этого для серверов, то, конечно, это должно быть выполнимо для обычного Windows 7 non enterprise edition, а также?

спасибо заранее

DTS

3
задан DST
29.01.2023 8:17 Количество просмотров материала 3611
Распечатать страницу

1 ответ

TL;DR:

сами разрешения не являются иерархическими в Windows, поэтому вы не можете назначить право на основе "уровня" пользователя. Это индивидуальные разрешения, назначенные ресурсу для каждого пользователя. Диаграмма Венна является хорошей аналогией - если пользователь попадает в правый круг, он может выполнить соответствующее действие.

Подробнее

в Windows, каждый ресурс (файл, процесс, записи реестра и т. д.) имеет список управления доступом (ACL) с одним или несколько записей, которые определяют, какие пользователи имеют разрешение на ресурс. Кроме того, вы можете (и должны) назначить разрешения группе и добавить пользователя в группу.

администратор - это просто пользователь, который принадлежит к группе (администраторы), которая по умолчанию имеет все разрешения на все ресурсы (ну, на самом деле, но это еще один пост).

есть другие группы по умолчанию, которые имеют подмножество тех разрешений, которые могут соответствовать вашим требование:

локальные группы: https://technet.microsoft.com/en-us/library/cc771990(в=ВУ.11).аспн

активные группы каталогов: https://technet.microsoft.com/en-us/library/dn579255(в=ВУ.11).аспн

вы также можете создавать свои собственные группы, которые имеют подмножество разрешений, назначенных подмножеству ресурсов:https://technet.microsoft.com/en-us/library/cc754344 (v=ws.11).aspx

есть многие нюансы настройки разрешений так, что они (1) имеют предполагаемый эффект, и (2) являются поддерживаемыми, и я настоятельно рекомендую прочитать некоторые рекомендации, Прежде чем заходить слишком далеко в него, но некоторые общие указатели для разрешений NTFS:

  • добавить пользователей в группы и назначить разрешения группе (не пользователю!)
  • использовать вложенные группы для лучшей организации, например, U:BSmith -> г:Бухгалтерский учет -> г:PayrollUsers -> управления доступом
  • дайте групп наименьшие привилегии, необходимые для выполнения работы, определенной группой
  • разрешения являются аддитивными. Т. е. если пользователь принадлежит к двум разным группам, им будет позволено делать что угодно либо группы.
  • разрешения переопределяют разрешения. Т. е. если пользователь принадлежит к двум различным группам, они будут допущены все либо группы, А минус что-либо группе запрещен.

Если вы не делаете ничего критичного я настоятельно рекомендую взять кого-то с опытом, чтобы помочь вам. Много путей причинить непреднамеренные побочные эффекты.

1
отвечен Jens Ehrich 2023-01-30 16:05

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх