|
Автору топика.
Сам наверно понимаешь, что будучи администраторами, локальные пользователи себе могут дать какие угодно привилегии на локальном компе. Ты им отменишь доступ к веткам реестра и запуску/останову сервисов. А они возьмут, и восстановят доступ. Если захотят.
В ряде официальных мануалов и в книжках советуют пользователям давать только те привилегии, какие им непосредственно нужны, ничего лишнего.
Но вообще все от ситуации зависит, что за фирма, какая политика безопасности (в банке с тетками-бухгалтерами и программерской конторе подходы к правам пользователей разные немного имхо). Я вот, если пользователю даю права админские, то либо беру слово что он ничего не будет менять на компе серьезно, только будет ставить/удалять свои проги прикладные (иногда требуются админские права), и обо всех изменениях отчитывается передо мной. Либо в противном случае, если пользователь достаточно квалифицированный, даю ему админские права - и требую с него, чтобы он сам конфигурил и админил машину в соотвествии с требованиями моими (такие случаи в общем очень редки).
Еще вариант. Дать пользователю права суперюзера на какой-то срок, чтобы он поставил все проги какие ему нужны, и сконфигурил винду как ему удобно (если не хочешь чтобы по каждому случаю дергали тебя). А потом дать ему Power User-а, и по ходу открывать ему permissions на что нужно походу.
|