Робота не адміном з user account control

Менша кількість користувачів з адміністративними привілеями є гідною метою для IT організацій. Однак, хоча IT адміністратори в цілому згодні, що обмеження користувачів до стандартного користувача є вірним поведінкою, приблизно 80 відсотків з них встановлює настільні системи з адміністративними користувачами, роблячи ці машини більш схильними до шкідливого ПО і важче для управління. Але уникнути адміністративного користувача не так просто. Потенційні проблеми, які ви зустрінете, якщо спробуєте, численні.

Перш за все, є сумісність додатків. Оскільки багато додатків були написані і тестовані, використовуючи адміністративного користувача, вони можуть навіть просто не працювати під стандартними користувачами. (Це найбільш частий випадок, тому що програми намагаються писати в захищені галузі такі як каталог Program Files або ключ реєстру HKLM.)

По-друге, ранні версії Windows були занадто обмежуючими в тому, які установки користувачам було дозволено редагувати. Стандартні користувачі не могли змінювати тимчасову зону, настройки харчування, приєднуватися до безпечних бездротових мереж або встановлювати ActiveX® об`єкти, що не зателефонувавши попередньо на підтримку, з чим були пов`язані додаткові витрати.

На щастя, Windows Vista звертається до цих проблем. І навіть якщо ваші користувачі не мають адміністративних облікових записів, User Account Control (UAC) і інші технології управління в Windows Vista значно спрощують підтримку і управління цими настільними системами, просувають підвищену продуктивність для стандартних користувачів і роблять це без ослабленою безпеки, що відбувається, коли ви змінюєте списки управління доступом (ACLs) - звичайний спосіб надання користувачам більшого, індивідуального доступу. Давайте поглянемо докладніше на те, як Windows Vista знімає деякі з ваших проблем з управлінням доступом.

Віртуалізація покращує сумісність

Багато додатків, які не могли виконуватися в Windows XP під стандартним користувачем, зможуть виконуватися без змін в Windows Vista завдяки можливостям віртуалізації файлів і реєстру. У Windows XP багато додатків ламаються, коли вони намагаються писати в захищені області файлової системи або реєстру, до яких у стандартних користувачів немає доступу. Windows Vista поліпшить сумісність шляхом переадресації записи (і подальшого читання файлів і реєстру) в спеціальне місце всередині профілю цього користувача. Наприклад, якщо додаток намагається писати в C: program files contoso settings.ini і користувач не має прав писати в цей каталог, запис буде перенаправлено в C: Users username AppData Local VirtualStore Program Files contoso settings.ini. Якщо ж програма намагається писати в HKLM Software Contoso , дія буде автоматично переадресовано в HKCU Software Classes VirtualStore MACHINE Software Contoso. Мал. 1 описує процес переадресації. До того ж, програма Certified for Windows Vista Software Logo вимагатиме щоб додаток виконувалося під стандартним користувачем без вимоги віртуалізаціі- якщо ж немає, логотип НЕ буде присуджений додатком.

Малюнок 1 Процес віртуалізації файлів і реєстру

Стандартний користувач може робити більше

У Windows Vista облікові записи стандартного користувача отримали додаткові привілеї, так що користувачі можуть виконувати спільні завдання без підтримки і без необхідності повного набору дозволів, забезпечених адміністративної обліковим записом. Нові привілеї включають здатність бачити системні годинник і календар, змінювати тимчасову зону, змінювати установки безпеки для бездротових мереж, змінювати установки управління живленням і завантажувати і встановлювати критичні оновлення з Windows Update.

Додатково, дефрагментація є в Windows Vista автоматично запланованим процесом. Дії, які вимагають адміністративних привілеїв, позначені як щита, так що користувачі можуть бачити якісь зміни конфігурації вони можуть, а які не можуть робити.

Установка ActiveX об`єктів.

Об`єкти ActiveX можуть бути особливо складні для централізованого управління, оскільки вони можуть оновлюватися часто, і їх потрібно перепаковувати до того як вони можуть розміщуватися через програми розміщення ПО такі як Systems Management Server (SMS) або через Group Policy. Windows Vista включає необов`язкову компоненту звану ActiveX Installer Service, яка дозволяє IT адміністраторам використовувати Group Policy для вказівки веб сайтів з яких стандартним користувачам буде вирішуватися встановлювати об`єкти ActiveX. Для використання ActiveX Installer Service, робіть так:

• Увімкніть ActiveX Installer Service на клієнтських комп`ютерах. Ви можете включити цей сервіс через аплет Windows Features Control Panel або коли ви конфігуріруете образ вашої настільної системи.
• У Active Directory Group Policy, в Computer Configuration | Administrative Templates | Windows Components, виберіть ActiveX Installer Service. Виберіть «Включено». Тепер, після того як політика реплицирована користувачам, вони зможуть встановлювати об`єкти з сайтів, які ви вкажете.

Оскільки об`єкти ActiveX і інший виконуваний код може виконувати зловмисні завдання, використовуйте цю можливість подумав- використовуйте її тільки для тих вендорів, яким ви довіряєте, і тільки для intranet сайтів, що знаходяться під вашим суворим контролем.

ActiveX Control Installer Service також інтегрована з інфраструктурою подій в Windows Vista, так що ви можете отримувати автоматичні сповіщення, якщо є об`єкти ActiveX, которийе вашим користувачам потрібно встановлювати. Коли стандартний користувач намагається встановити об`єкт, який не був затверджений, сервіс створює подія в журналі додатків. У Windows Vista завдання можуть бути налаштовані, щоб автоматично надсилати e-mail або виконати іншу програму як тільки подія відбулася. Тоді в знаєте, коли користувач потребує об`єкті, і ви можете додати сайт в Group Policy без значного часу очікування для користувача. З Windows Vista ви також можете підписатися на події від різних машин в межах вашого підприємства і створити список всіх об`єктів, які ваші користувачі намагаються встановити.

Установка драйверів фізичних пристроїв.

Занепокоєння про те, що користувачі не зможуть встановити драйвери пристроїв, які їм потрібні в дорозі є іншою причиною чому адміністративні права залишаються популярними, особливо для користувачів лаптопов. Нова інфраструктура Driver Store в Windows Vista устранаяет цю перешкоду, дозволяючи гнучке управління тим, які пристрої стандартні користувачі можуть встановлювати. По-перше, ви можете попередньо заселити Driver Store надійними драйверами, так що користувачі зможуть встановлювати дозволені пристрої, коли їм знадобиться. По-друге, ви можете використовувати Group Policy, щоб дозволити стандартним користувачам встановлювати класи пристроїв, такі як прінетри, або навіть конкретні пропалені ідентифікатори пристроїв, як, наприклад, дозволені флеш драйви.

Оскільки Windows Vista Driver Store є довіреною кешем драйверів, поставлених з комп`ютером і від інших постачальників, на жорсткому диску кожної клієнтської машини, користувачі можуть встановлювати їх без адміністративних привілеїв. Щоб помістити драйвери в the Driver Store, ви можете або додати їх автономно, або динамічно оновити драйвери для онлайн клієнтів через мережу. Для автономних образів, використовуйте Package Manager щоб без проблем розмістити драйвери в Driver Store.

Для онлайн образів використовуйте утиліти командного рядка, такі як pnputil.exe або DevCon в поєднанні з додатками розміщення ПО для того щоб додати, оновити або удалітьдрайвер з Driver Store. Щоб ще більше спростити і додати гнучкості в процес додавання драйверів, Windows Vista дозволяє відділам IT і третім сторонам можливість підписатися в цілісності пакету драйвера.

За замовчуванням, тільки користувачі з адміністративними правами можуть додавати нові драйвери в Driver Store. Однак існує критична потреба для користувачів, особливо для мобільних користувачів, встановлювати пристрої на кшталт принтерів поки вони в дорозі. З новими настройками в Group Policy, Windows Vista дозволяє вам надавати стандартним користувачам гнучкість, необхідну для установки пристрою як авторизованого, навіть якщо драйвери вже не перебувають у Driver Store. Щоб делегувати привілей включення драйвера пристроїв, відкрийте інтерфейс Group Policy і підіть в Computer Configuration | Administrative Templates | System | Driver Installation | Дозволити неадміністраторам встановлювати драйвери цих пристроїв. Вам потрібно буде знати GUID для класів пристроїв, які ви хочете дозволити включати і інсталювати стандартним користувачам. Ви можете знайти ці класи пристроїв на мережі в MSDN або, якщо пристрій встановлено на вашій машині, підіть у вікно Device Manager | Properties. Натисніть на закладку Деталі й виберіть зі списку Device Class GUID. Вам також треба переконатися, що сертифікати, використані для підписання драйверів, вже знаходяться в сховищі Trusted Publishers клієнтської машини, що можна контролювати за допомогою Group Policy.

Ці поліпшення в Windows Vista тепер надають стандартним користувачам необхідну гнучкість в установці пристроїв, так що ви можете перевести цих користувачів в керовану середу настільної системи.