Foro de TI tranquilo

Hola, estoy creando un paquete para nuestra flota de PC prestadas, para otorgar derechos de administrador al usuario actual.
Al ejecutar la configuración de sesión, recibo un error de acceso denegado. ¿La configuración de sesión no se está ejecutando con la cuenta del sistema?
juliano

Durante una sesión de configuración, no es sorprendente que un usuario no pueda agregarse a la cuenta de administrador

Durante la instalación, desea utilizar
Pero en tu caso, supongo que eso significa agregar el grupo "todos" al grupo de administradores...

Hola, sí, efectivamente, no me había dado cuenta de que la configuración de sesión no usaba la cuenta del sistema; no se indicaba explícitamente en la documentación.
¿Hay alguna forma de ejecutar un comando como la cuenta del sistema usando la configuración de sesión? (Para cualquier propósito)
Julien

Hola jdziadek,

¿podrías explicar tu caso de uso? Parece que quieres implementar un sistema de gestión de acceso privilegiado (PAM) con WAPT. ¿

Tus ordenadores de préstamo están asignados a usuarios específicos?

¿Qué acciones deberían poder realizar tus usuarios con una cuenta de administrador en sus ordenadores de préstamo?

Gracias.

Hola,
en resumen, tenemos una flota de entre 20 y 30 ordenadores de préstamo, prestados por un máximo de dos meses, ya sea a estudiantes o personal. Simplemente nos gustaría que los usuarios pudieran instalar el software que deseen. Estamos en las primeras etapas de nuestra infraestructura WAPT, por lo que la lista de paquetes aún no es lo suficientemente extensa para todos los usuarios.
Una vez que el servicio de gestión de préstamos recupera el ordenador, reinstalamos el sistema operativo mediante WADS.
Añadir "todos" al grupo de administradores funciona, pero preferiríamos una solución menos drástica.
- Julien

jdziadek escribió: ↑26 de mayo de 2023 - 18:32 ¿ Existe alguna forma de ejecutar un comando como cuenta de sistema mediante la configuración de una sesión? (Para cualquier propósito)

Esto es particularmente peligroso; significaría que un usuario no autorizado podría pedirle a Wapt que ejecute código por él.

Sin embargo, un consejo útil es que el usuario puede solicitar una auditoría durante la sesión de configuración:
Pero como dije, es lo mismo que poner a todos en el grupo de administradores... no cambia el resultado final.

¿Qué software necesita para que sus usuarios tengan acceso restringido y puedan instalarlo de forma autónoma? ¿

Podemos colaborar para lograr este objetivo?

vcardon escribió: ↑30 de mayo de 2023 - 23:02 ¿Qué software necesitas para restringir el acceso de tus usuarios y ofrecerles la instalación de software por sí mismos? ¿

Podemos colaborar para lograr este objetivo?

El problema es que no sabemos nada; tenemos muchos profesores investigadores que prueban el software para ver si puede satisfacer una necesidad, por lo que es posible que necesiten el software para probarlo y posiblemente nunca vuelvan a hacerlo.

Hola,
tenemos un problema similar en nuestra escuela vocacional. Las empresas les piden a los pasantes que traigan una PC, ya sea para usar nuestras licencias de Autodesk/Solidworks Education, etc., o para instalar su propio software empresarial. A veces, estas PC incluso terminan unidas al dominio de la empresa que aloja al pasante. Por lo tanto, necesitan privilegios de administrador.
La solución más rápida que he encontrado es crear una imagen maestra de estas máquinas con nuestro software instalado a través de WAPT, pero la mantengo fuera del dominio. Solo creo un único usuario "estudiante" que es administrador de Windows. Cuando se devuelve la PC, recreo su imagen.

Hola Julien,

jdziadek escribió: ↑31 de mayo de 2023 - 10:12

vcardon escribió: ↑30 de mayo de 2023 - 23:02 ¿Qué software necesitas para restringir el acceso de tus usuarios y ofrecerles la instalación de software por sí mismos? ¿

Podemos colaborar para lograr este objetivo?

El problema es que no sabemos nada; tenemos muchos profesores investigadores que prueban el software para ver si puede satisfacer una necesidad, por lo que es posible que necesiten el software para probarlo y posiblemente nunca vuelvan a hacerlo.

Puede que no sea posible eliminar los derechos de administrador local de todo el profesorado, pero hemos visto otras escuelas que los han eliminado con éxito para la gran mayoría de los usuarios con un sistema de autoservicio completo. De hecho, al explicar los riesgos asociados con esta cuenta (en particular, el mayor riesgo de ataques de ransomware) y los beneficios limitados si el sistema de autoservicio está saturado, es posible lograr que muchos acepten el cambio.

Más allá de simplemente cambiar a privilegios de administrador local, desde el punto de vista de la seguridad, es mejor evitar que la cuenta de usuario principal sea administrador local. En su lugar, cree una cuenta local independiente en la misma máquina que pueda usarse ocasionalmente para instalaciones, pero no para el uso diario. Si esta cuenta es local y no tiene acceso a recursos de red, etc., impide que los usuarios la usen a diario, lo que les anima a priorizar sus cuentas con privilegios restringidos.

Atentamente,

Denis