5 - Skapa shims

En del applikationer har hyss för sig. Till exempel kan en applikation kolla om användaren är med i lokala administratörsgruppen eller om hon är power user. En annan kan felaktigt kräva användaren på höjda privilegier via UAC om du kör Windows Vista eller Windows 7. Den typen av problem kan du hantera genom att skapa egna kompatibilitetsfixar, så kallade shims.

Kräver rättigheter
En av de vanligaste åtgärderna är att du får en applikation som tycker att den behöver administratörsrättigheter, och därmed också poppar upp med uac-varning. Ställ då in att applikationen ska köras med kompatibilitetsfixen ”runasinvoker”. På det sättet berättar du för applikationen att den snällt ska köra igång med den befintliga säkerhetsnivån utan att kräva administratörsrättigheter.

Shims skapar du med verktyget Compatibility Administrator. Det ingår i paketet Application Compatibility Toolkit, som Microsoft tillhandhåller utan kostnad via Microsoft Download Center. När du skapat en fix för en applikation måste den installeras på maskinerna där den behövs. Det gör du genom att köra kommandot sdbinst –q från en kommandoradstolk.

6 - Uppgradera Windows

Ytterligare ett tips är att uppgradera dina system. Windows Vista och Windows 7 låter användare göra mer per default.

I Windows XP kan en vanlig användare till exempel inte ändra datum eller tid, något som tillåts som standard i Windows 7 (och Windows Vista). Många mobila användare vill kunna installera och använda mobila bredband. Om du kör Windows 7 och tillåter installation av modem via grupprinciper, som vi avhandlade tidigare i artikeln, kan användarna installera mobila bredband utan att vara lokala administratörer. Windows 7 dessutom har nämligen integrerat stöd för mobila uppkopplingar utan att kräva de olika operatörernas uppkopplingsmjukvara.

TechWorlds slutsats
Genom att gå till botten med vilka behov som finns och identifiera de egentliga anledningarna till att det finns lokala administratörer i organisationen kan du ganska enkelt bli av med en stor del av dem. Samtidigt får du bättre koll på de lokala administratörer som blir kvar. Säkerheten förbättras och du slipper garanterat flera onödiga supportärenden som beror på användares nyfikenhet att ändra inställningar och testa saker. Om du kör Windows 7 har du allra störst möjligheter att anpassa och låta dina användare göra mer utan att vara lokala administratörer.

Glöm power users

Ett sätt att lösa problematiken kring administratörer eller standardanvändare var att i Windows XP göra användare till så kallade power users. En power user kunde till exempel skapa lokala konton, installera och köra program samt ändra systeminställningar, datum och tid.

Gruppen finns fortfarande kvar i modernare Windowsversioner, men från och med Windows Vista är dess enda syfte att bibehålla kompatibilitet – den fyller ingen som helst funktion i Windows Vista eller Windows 7.

Läs mer på nätet

  • Microsoft Application Compatibility Toolkit:
      tinytw.se/act
  • Beyondtrusts säkerhetsundersökning:
      tinytw.se/btlok
  • Process Monitor:

     www.sysinternals.com

  • Run As Professional:
      www.mast-computer.com
  • Run As Administrator:
      www.smart-x.com
  • Installation av drivrutiner för standardanvändare via gpo:

     tinytw.se/instgpo

  • Hantera ActiveX installer-tjänsten:

     tinytw.se/instgpo

Är du lokal admin på jobbdatorn?
Det är inte längre tillåtet att rösta.