Devo rielaborare il nostro attuale modello di sicurezza per i computer desktop e vorrei sapere quali modifiche possono essere apportate e le best practice.
Attualmente abbiamo il ruolo di helpdesk che viene pubblicato tramite GPO per aggiungerlo al gruppo di amministratori locali sui computer. Per gli utenti che richiedono di essere amministratori locali, neghiamo al computer l'accesso all'oggetto Criteri di gruppo e aggiungono il proprio account al gruppo di amministratori locali. Questo pone un problema quando il nostro personale di helpdesk deve lavorare sul computer quando l'utente amministratore locale non è presente. Gli ex amministratori (che non lavorano più qui) hanno collocato gli utenti nel ruolo di helpdesk che richiedeva solo l'utilizzo dell'amministratore locale sul proprio computer.
Ora abbiamo 30 utenti esperti che stanno iniziando a capire che possono accedere a \ computername \ c $ condivisioni.
Come posso eliminare il conflitto dell'helpdesk / amministratore locale senza creare oggetti Criteri di gruppo per ogni account di computer?
Posso disabilitare le condivisioni amministrative locali a un gruppo specifico e aggiungere i nostri utenti esperti a quel gruppo o non è una buona politica?