UAC и работа с удаленными пользователями домена

Правильная настройка рабочих станций включает в себя ограничение прав пользователей, что часто сложно реализовать при работе с программами удал.адм. типа тимвьювера. Связано это с UAC.
При выводе запроса UAC,если пользователь ограничен в правах и нужен пароль админа, программа удал. адм. отключает сеанс и управление без вмешательства реального юзера, сидящего за компом, возвращается только через пару минут, когда истекает таймаут по вводу пароля в запросе.
Решение данной проблемы - понижение UAC до предпоследнего уровня - отключить затемнение раб.стола.


После этой настройки работать с таким компьютером гораздо проще, можно даже вставлять логин и пароль админа в строку запроса через буфер обмена.
На системе где залогинен ограниченный в правах юзер и уже был включен UAC с затемнением вполне можно исправить ситуацию удаленно, не сообщая админский логин и пароль юзеру, но все таки совсем без его помощи не обойтись.
Я нашел такой способ:

В активном подключении Тимвьювера под пользовательскими правами нужно выбрать завершение сеанса из служебного меню "удаленнная перезагрузка" 


Тимвьювер при этом запросит админский логин и пароль, который можно вставить из буфера
После этого реальный пользователь должен подтвердить изменение параметров системы тимвьювером, нажав кнопочку "да" на затемненном экране.
Логин пароль при этом не запрашивается и мы попадаем на экран входа в виндовс. Там уже вводим админский логин и пароль (буфер обмена не работает) 
И в настройках учетных записей понижаем UAC до предпоследнего уровня, отключая затемнение. При этом запрос с затемнением на изменение также выдается, но сеанс уже не отключается. 


После этого аналогично через служебное завершение сеанса можно пустить пользователя обратно не отключаясь от сессии и продолжить работу с системой уже без проблем с отключениями от компьютера пользователя.
А при запросах админских прав вводить логин и пароль вставляя их из буфера. 



Считаю что ограничения прав пользователя очень полезная тема для стабильности работы и безопасности клиентских систем,а при такой настройке это даже не сильно затруднит обслуживание - можно запустить например файловый менеджер с админскими правами один раз скопировав логин и пароль и затем запускать нужные задачки из под него уже без всяких лишних запросов.
Предлагаю сделать такую настройку в стандартных образах по умолчанию и применять на всех компьютерах, где предполагается удаленное обслуживание при пониженных правах пользователя.

 

Автор: Дмитрий Молоснов

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0

Если статья оказалась вам полезна, пожалуйста, отблагодарите посильной суммой :)

Еще есть вопросы? Отправить запрос

0 Комментарии

Войдите в службу, чтобы оставить комментарий.
На базе технологии Zendesk