3 - Ge användarna frihet med grupprinciper

Windows Vista och Windows 7 erbjuds stora möjligheter att låta standardanvändare göra mer utan att de är lokala administratörer, då det finns avsevärt många fler grupprincipinställningar att ta till. Ett konkret exempel är att du kan tillåta din standardanvändare att installera och köra valda Activex-kontroller som krävs för att vissa webbapplikationer ska fungera. Det gör du genom att säkerställa att tjänsten ”activex installer (axinstsv)” är igång.

Activex loggas
När en användare surfar till en webbsida som vill installera en Activex-kontroll loggas detta i applikationsloggen i loggboken. Den informationen kan du sedan använda för att i en grupprincip konfigurera vilka Activex-kontroller du vill tillåta dina standardanvändare att själva installera. Grupprinciperna för det här hittar du under Datorkonfiguration >Principer >Administrativa mallar >Windowskomponenter >Tjänsten Active X Installer i grupprincipkonsolen. I Windows Vista eller Windows 7 är det också fullt möjligt att tillåta användare att installera olika typer av enheter. Beroende på antingen vilken typ av enheter det är, till exempel skrivare, skanner eller modem, kan du välja att tillåta enskilda maskinvaruenheter att installeras utifrån den unika hårdvaru-id som alla enheter har. Även detta konfigurera via grupprinciper – gå till Datorkonfiguration >Principer >Administrativa mallar >System > Enhetsinstallationer.

4 - Modifiera behörigheter

'En väldigt vanlig anledning till att användare görs till administratör är att en specifik applikation kräver det. De flesta sådana problem går dock att lösa genom att i stället modifiera behörigheter på register och filsystem.

Om du kör Windows Vista eller senare kan du se till att aktivera det ökända uac (user account control) som automatiskt virtualiserar register och filsystem.

I praktiken innebär det att applikationer som försöker skriva exempelvis i mappen Program files, där en användare med standardbehörighet inte får skriva, styrs om till att skriva till den lokala användarens katalog. Applikationen fungerar utan att du behöver lyfta ett finger.


Välj Access denied

Om du vill se vad en applikation har för sig för att kunna ändra behörighet på rätt mapp, fil eller registernyckelvärde, så använder du Process Monitor. Den listar allt som sker på din dator. Enklast blir det om du filtrerar på ”Process name” för att begränsa dig till applikationen ifråga, men det är även vettigt att filtrera bort ”Success”, eller kanske till och med endast visa ”Access denied” för att se var du inte får skriva eller komma åt en resurs.

När du vet vad applikationen inte får göra är det enkelt att ställa om behörigheten bara på den enskilda mappen, filen eller registernyckeln så att applikationen fungerar utan administratörsrättigheter för användaren.

Några lokala admin kvar trots allt?

Det kan hända att du inte blir av med precis alla lokala administratörer över en natt. Vissa kan även fortsättningsvis behöva extra behörighet. Vi rekommenderar att du hanterar detta dynamiskt, genom att skapa en enda följsam regel för alla nuvarande och framtida datorer. Det kommer leda till enklare administration, men samtidigt måste du vara medveten om att det kräver en tydlig dokumentation som möjliggör omvärdering med jämna mellanrum.

För att ordna det här startar du grupprinciphanteraren och går till Datorkonfiguration >Inställningar >Inställningar för kontrollpanel >Lokala användare och grupper. Välj sedan Nytt >Lokal grupp. Ställ in som följer: Välj Uppdatera och sedan gruppnamnet ”Administratörer (inbyggt)” i listan. Välj sedan Lägg till och sätt namn till LocalAdmin-%ComputerName%. Var noga med att Lägg till i den här gruppen är vald.

För att göra en användare till lokal administratör på en dator skapas, om den inte redan finns, en grupp i Active Directory Users and Computers (i ou = x) vid namn LocalAdmin-datornamn. Där läggs användaren in. Det innebär att det finns en säkerhetsgrupp per dator där användare som ska vara lokala administratörer kan läggas in.

Den här konfigurationen är avsedd att optimera prestanda och förenkla administrationen, men samtidigt säkerställa att användare inte görs till lokala administratörer på samtliga datorer i nätverket. Det är ett sätt av många att ordna och ha koll på lokala administratörer.

Är du lokal admin på jobbdatorn?
Det är inte längre tillåtet att rösta.