Aggiunta dell'utente corrente al gruppo di amministrazione

[jdziadek]

Salve, sto creando un pacchetto per la nostra flotta di PC in prestito, per concedere diritti di amministratore all'utente attuale.

Codice: Seleziona tutto

def install():
    user = get_current_user()
    if ( user):
        add_user_to_group("centralelille\\" + user, "administrateurs")
def session_setup():
    user = get_current_user()
    add_user_to_group("centralelille\\" + user, "administrateurs")

Quando eseguo session-setup, ricevo un errore di accesso negato. La configurazione della sessione non viene eseguita con l'account di sistema?
Giuliano

[sfontenau]

Durante una sessione di configurazione, non sorprende che un utente non possa aggiungersi all'account amministratore

Durante l'installazione si desidera utilizzare

Codice: Seleziona tutto

get_loggedinusers()

Ma nel tuo caso, suppongo che ciò significhi aggiungere il gruppo "tutti" al gruppo degli amministratori...

[jdziadek]

Ciao, sì, in effetti non mi ero reso conto che la configurazione della sessione non utilizzasse l'account di sistema; non era esplicitamente indicato nella documentazione.
Esiste un modo per eseguire un comando come account di sistema utilizzando la configurazione della sessione? (Per qualsiasi scopo)
Julien

[vcardon]

Ciao jdziadek,

potresti spiegarci meglio il tuo caso d'uso? Sembra che tu voglia implementare una sorta di sistema PAM (Privileged Access Management) utilizzando WAPT.

I PC in prestito sono assegnati a utenti specifici?

Quali azioni dovrebbero essere in grado di eseguire i tuoi utenti con un account amministratore sui PC in prestito?

Grazie.

[jdziadek]

Salve,
in parole semplici, disponiamo di un parco di 20-30 PC in prestito, concessi in uso per un massimo di due mesi a studenti o personale. Vorremmo semplicemente che gli utenti potessero installare il software che desiderano. Siamo ancora agli inizi della nostra infrastruttura WAPT e, pertanto, l'elenco dei pacchetti non è ancora sufficientemente ampio per tutti gli utenti.
Una volta che il PC viene ritirato dal servizio di gestione dei prestiti, reinstalliamo il sistema operativo tramite WADS.
Aggiungere "tutti" al gruppo di amministratori funziona, ma preferiremmo una soluzione meno drastica.
- Julien

[sfontenau]

C'è un modo per eseguire un comando come account di sistema utilizzando una configurazione di sessione? (Per qualsiasi scopo)

Ciò è particolarmente pericoloso: significherebbe che un utente non autorizzato potrebbe chiedere a Wapt di eseguire codice per suo conto.

Un consiglio utile, tuttavia, è che l'utente può richiedere un controllo durante la sessione di configurazione:

Codice: Seleziona tutto

def install():
    pass

def session_setup():
    wgets('http://127.0.0.1:8088/audit?force=1&package=tis-test')

def audit():
    for user in get_loggedinusers():
        add_user_to_group("centralelille\\" + user, "administrateurs")      

Ma come ho detto, è come mettere tutti nel gruppo degli amministratori... non cambia il risultato finale.

[vcardon]

Di quale software avete bisogno per consentire ai vostri utenti di avere accesso limitato e di installare il software in modalità self-service?

Possiamo collaborare per raggiungere questo obiettivo?

[jdziadek]

Di quale software hai bisogno per limitare l'accesso dei tuoi utenti e offrire loro l'installazione self-service del software?

Possiamo collaborare per raggiungere questo obiettivo?

Il problema è che non lo sappiamo affatto; abbiamo molti insegnanti-ricercatori che testano il software per vedere se può soddisfare un'esigenza, quindi potrebbero aver bisogno del software per testarlo e forse non tornarci mai più.

[Gaeldi]

Salve,
anche noi nella nostra scuola superiore professionale abbiamo un problema simile. Le aziende chiedono agli stagisti di portare un PC, sia per utilizzare le nostre licenze Autodesk/Solidworks Education, sia per installare il proprio software aziendale. A volte questi PC finiscono addirittura per essere collegati al dominio dell'azienda che ospita lo stagista. Pertanto, necessitano di privilegi di amministratore.
La soluzione più rapida che ho trovato è quella di creare un'immagine master di queste macchine con il nostro software installato tramite WAPT, ma la tengo al di fuori del dominio. Creo un solo utente "studente" con privilegi di amministratore di Windows. Quando il PC viene restituito, ne ricreo l'immagine.

[dcardon]

Ciao Julien,

Di quale software hai bisogno per limitare l'accesso dei tuoi utenti e offrire loro l'installazione self-service del software?

Possiamo collaborare per raggiungere questo obiettivo?

Il problema è che non lo sappiamo affatto; abbiamo molti insegnanti-ricercatori che testano il software per vedere se può soddisfare un'esigenza, quindi potrebbero aver bisogno del software per testarlo e forse non tornarci mai più.

Potrebbe non essere possibile rimuovere i diritti di amministratore locale da tutto il personale docente, ma abbiamo visto altre scuole che li hanno rimossi con successo per la stragrande maggioranza degli utenti con un sistema self-service ben popolato. Infatti, spiegando i rischi associati a questo account (in particolare il rischio maggiore di attacchi ransomware) e i vantaggi limitati in caso di sistema self-service pieno, è possibile convincere molte persone ad accettare la modifica.

Oltre al semplice passaggio ai privilegi di amministratore locale, dal punto di vista della sicurezza è meglio evitare di avere l'account utente principale come amministratore locale. Piuttosto, create un account locale separato sulla stessa macchina che possa essere utilizzato occasionalmente per le installazioni, ma non per l'uso quotidiano. Se questo account è locale e non ha accesso alle risorse di rete, ecc., impedisce agli utenti di utilizzarlo quotidianamente, incoraggiandoli così a dare priorità ai propri account con privilegi limitati.

Sinceramente,

Denis