UAC e gli utenti di dominio di classe Users, quali implicazioni ?

SampeiMihira · 22-04-2010, 13:49

Buongiorno, in un contesto di dominio Microsoft (win 2003 server) in azienda ho verificato che da una macchina Win7 Pro 64-bit in dominio con loggato un utente di classe "Users" e l'UAC attivato come da default, non sono in grado di eseguire la deframmentazione del disco e nemmeno il tool di Windows backup (!!!), attività che sui notebook devo demandare agli utenti.
Ho provato ad inserire l'utente nel gruppo dei backup operators ma non ho risolto il problema del backup del tool nativo di Win7 e l'ho arginato installando il vecchio NTBackup su Win7. Per il defrag ho fatto ricorso ad un tool di terze parti, ma il tutto, seppur funzionante, "non mi soddisfa".
avrei 2 domande:

- esistono GPO locali o di dominio per ovviare ai problemi evidenziati o altre configurazioni effettuabili con strumenti nativi del sistema operativo ?

- sarei curioso di sapere se disattivando l'UAC ma mantenendo lo user di dominio di classe "Users", impedirei comunque all'utente aziendale l'installazione di programmi (almeno la maggior parte...) e se, quanti e quali rischi di sicurezza andrei a sostenere. In sostanza il timore è che senza l'UAC l'utente "Domain Users" acquisisca una qualche sorta di ingiustificata elevazione dei privilegi rispetto alla sua classe.

Grazie a tutti per l'aiuto, credo che questo post possa interessare più o meno tutti gli amministratori di sistema che lavorano in contesti aziendali.

Khronos · 22-04-2010, 14:08

mah, per il defrag non c'era nessun problema, il defrag in seven è un servizio di sistema sempre attivo durante l'inattività.

per l'UAC invece è esattamente l'opposto. (o per lo meno, non sono espertissimo in materia) perchè l'UAC ELEVA l'user a SuperUser quando ce n'è bisogno, quindi a UAC disattivato, un account User dovrebbe rimanere tale...

SampeiMihira · 22-04-2010, 15:05

Grazie 1000 per le info, non sapevo che il defrag in Seven fosse un servizio attivo nello stato di "idle" della macchina, dunque a quel che capisco non sarebbe più necessario lanciare l'applicazione manualmente o schedulandola.

Per il tool di Windows backup...francamente trovo assurdo che uno user con notebook al seguito non possa farsi un backup senza essere administrator...e qui al momento non trovo indicazioni.

Per l'UAC disattivato mantenendo lo user di classe Domain user, proverò alla prossima occasione, appena avrò di nuovo tra le mani una macchina con Seven.

Grazie ancora

22-04-2010, 13:49	#1
SampeiMihira Junior Member Iscritto dal: Apr 2010 Messaggi: 2	UAC e gli utenti di dominio di classe Users, quali implicazioni ? Buongiorno, in un contesto di dominio Microsoft (win 2003 server) in azienda ho verificato che da una macchina Win7 Pro 64-bit in dominio con loggato un utente di classe "Users" e l'UAC attivato come da default, non sono in grado di eseguire la deframmentazione del disco e nemmeno il tool di Windows backup (!!!), attività che sui notebook devo demandare agli utenti. Ho provato ad inserire l'utente nel gruppo dei backup operators ma non ho risolto il problema del backup del tool nativo di Win7 e l'ho arginato installando il vecchio NTBackup su Win7. Per il defrag ho fatto ricorso ad un tool di terze parti, ma il tutto, seppur funzionante, "non mi soddisfa". avrei 2 domande: - esistono GPO locali o di dominio per ovviare ai problemi evidenziati o altre configurazioni effettuabili con strumenti nativi del sistema operativo ? - sarei curioso di sapere se disattivando l'UAC ma mantenendo lo user di dominio di classe "Users", impedirei comunque all'utente aziendale l'installazione di programmi (almeno la maggior parte...) e se, quanti e quali rischi di sicurezza andrei a sostenere. In sostanza il timore è che senza l'UAC l'utente "Domain Users" acquisisca una qualche sorta di ingiustificata elevazione dei privilegi rispetto alla sua classe. Grazie a tutti per l'aiuto, credo che questo post possa interessare più o meno tutti gli amministratori di sistema che lavorano in contesti aziendali.

22-04-2010, 14:08	#2
Khronos Senior Member Iscritto dal: Jan 2007 Città: quel ramo del lago di como, che volge a mezzogiorno... ^^ Messaggi: 19625	mah, per il defrag non c'era nessun problema, il defrag in seven è un servizio di sistema sempre attivo durante l'inattività. per l'UAC invece è esattamente l'opposto. (o per lo meno, non sono espertissimo in materia) perchè l'UAC ELEVA l'user a SuperUser quando ce n'è bisogno, quindi a UAC disattivato, un account User dovrebbe rimanere tale... __________________ Modding Grafico di Win XP e prec. \| 4 giga di ram e 32bit. Khro, on deviantart; Test Ram by Tut;Lista Live cd.

22-04-2010, 15:05	#3
SampeiMihira Junior Member Iscritto dal: Apr 2010 Messaggi: 2	Grazie 1000 per le info, non sapevo che il defrag in Seven fosse un servizio attivo nello stato di "idle" della macchina, dunque a quel che capisco non sarebbe più necessario lanciare l'applicazione manualmente o schedulandola. Per il tool di Windows backup...francamente trovo assurdo che uno user con notebook al seguito non possa farsi un backup senza essere administrator...e qui al momento non trovo indicazioni. Per l'UAC disattivato mantenendo lo user di classe Domain user, proverò alla prossima occasione, appena avrò di nuovo tra le mani una macchina con Seven. Grazie ancora

Strumenti
Mostra una versione stampabile Invia questa pagina per email