Jakie ryzyko istnieje, aby umożliwić administratorowi pełną kontrolę nad folderem systemowym? Co tak naprawdę potrzebuję, to edytować plik hosta w folderze System32, dlatego muszę umożliwić pełną kontrolę administratorowi folderu systemowego?
Ten komunikat mówi, że może to zmniejszyć bezpieczeństwo systemu:
Odpowiedzi:
Adresowanie zrzutu ekranu jest całkowicie normalne, że grupa administracyjna ma pełną kontrolę
W praktyce administratorzy są jedynymi użytkownikami, którzy mają zostać przypisani do grupy „Administrator”, zwykle są to osoby, którym firma ufa i dobrze płacą, aby wszystko działało.
Przypisywanie do tej grupy tylko zaufanych osób, tj. Administratorów systemu lub niektórych zaufanych programistów, jest całkowicie normalne i bezpieczne.
Jeśli każdy przeciętny Joe w firmie jest w tej grupie, może to powodować duże problemy, w takim przypadku zalecam natychmiastową zmianę, w przeciwnym razie twoje serwery / sieć mogą zostać zainfekowane złośliwym oprogramowaniem od niektórych użytkowników pobierających pliki z zła strona internetowa.
Zalecam obejrzenie niektórych z tych filmów, aby lepiej zrozumieć użytkowników, grupy i uprawnienia
Tworzenie grup i administrowanie nimi w usłudze Active Directory w systemie Windows Server 2012 https://www.youtube.com/watch?v=C3UV3RTW7HI
Wprowadzenie do uprawnień do plików i udostępniania w systemie Windows Server 2012 https://www.youtube.com/watch?v=fJHFmt6F0Rc
Tworzenie i administrowanie kontami użytkowników w usłudze Active Directory w systemie Windows Server 2012 https://www.youtube.com/watch?v=DrNwJraGfjQ
źródło
host
plik Aby edytować plik hosta, muszę zezwolić administratorowi lub użytkownikowi na pełną kontrolęAby rozwiązać problem konkretnie z
hosts
plikiem ... wystarczy uruchomić Notatnik z podwyższonym poziomem uprawnień, a następnie użyć Plik-> Otwórz, aby go edytować. Nie można po prostu dwukrotnie kliknąć go w oknie Eksploratora. Ten plik jest w szczególności zablokowany.Poza tym domyślne uprawnienia w katalogach
\Windows
i\Program Files
są w rzeczywistości dość specyficzne i zastosowano pewne sztuczki ACL, które bardzo trudno jest przywrócić, jeśli zmienisz uprawnienia. Widzisz to w ustawieniach zaawansowanych; wiele specjalnych uprawnień w różnych zakresach. Nie należy nigdy zmieniać uprawnień w katalogach systemu operacyjnego lub katalogu głównego dysku C:. Spowoduje to poważne problemy, które będziesz mógł cofnąć tylko przez upuszczenie Full Conttrol w miejscu, które faktycznie pogorszy sytuację bezpieczeństwa niż na początku.Jeśli funkcja Kontrola konta użytkownika jest włączona (czego tak naprawdę nie należy jej wyłączać bez konkretnego powodu), system Windows zapewnia dodatkowe zabezpieczenia dla katalogów
\Windows
i,\Program Files
dzięki czemu nawet administratorzy nie mogą tam zapisywać plików bez wyraźnego podniesienia swoich uprawnień.Jeśli stwierdzisz, że zabezpieczenia w systemie są zbyt liberalne, powinieneś zająć się przywilejami dostępu użytkowników zamiast próbować modyfikować uprawnienia do katalogu.
źródło