刪除本地管理員權(quán)限是一個(gè)提高Windows安全的有效方法，但有關(guān)撤銷(xiāo)用戶(hù)桌面控制權(quán)的政策往往對(duì)管理員造成阻礙，使其無(wú)法利用這一有效方法。

[[145658]]

當(dāng)用戶(hù)具有本能管理權(quán)限時(shí)，他們可以在自己的工作區(qū)做任何想做的事情。比如下載任意應(yīng)用程序，使用任何程序，甚至忽略或撤銷(xiāo)IT管理員對(duì)他們?cè)O(shè)備所做的設(shè)置。很多用戶(hù)——尤其是高層——不喜歡無(wú)法完全控制設(shè)備所帶來(lái)的枷鎖，因此很多管理員讓用戶(hù)做自己設(shè)備的主人。

在許多情況下，決定是否允許本地管理員權(quán)限多半基于感情而不是事實(shí)，但是管理員不能讓這種情緒決定他們對(duì)安全的管理方式。

為什么要限制本地管理權(quán)限?

本地管理的權(quán)限給用戶(hù)過(guò)多的權(quán)力。終端是許多企業(yè)安全風(fēng)險(xiǎn)的主要所在，給用戶(hù)控制這些端點(diǎn)的權(quán)力只不過(guò)是開(kāi)放網(wǎng)絡(luò)引發(fā)更大的風(fēng)險(xiǎn)。

惡意軟件藏在每一個(gè)角落。定期瀏覽網(wǎng)頁(yè)和電子郵件網(wǎng)絡(luò)釣魚(yú)把Windows工作站推向持久性的風(fēng)險(xiǎn)。如果用戶(hù)有本地管理員權(quán)限，那么風(fēng)險(xiǎn)更大，因?yàn)樗麄兛梢苑駴QIT的安全措施。一個(gè)簡(jiǎn)單的身份驗(yàn)證漏洞掃描可以發(fā)現(xiàn)企業(yè)桌面缺少多少補(bǔ)丁(微軟和第三方)。掃描還可以顯示大量的配置漏洞，而這些漏洞將Windows操作系統(tǒng)置于風(fēng)險(xiǎn)之中。

禁止用戶(hù)使用工作站本地管理權(quán)限的組織要比那些讓用戶(hù)享有自己權(quán)限的組織有更好的安全保護(hù)。最初奪走用戶(hù)的管理權(quán)可能會(huì)有些痛苦，但是后期工作站的脆弱性，相關(guān)的事故和安全隱患所發(fā)生的頻率也會(huì)大大降低。

當(dāng)然，為用戶(hù)提供本地管理員權(quán)限也存在一些業(yè)務(wù)原因。兼容性、缺乏IT資源的故障診斷、政治和官僚機(jī)構(gòu)都是有可能的因素。但是所有這些原因都不足以抵消刪除本地管理權(quán)限所帶來(lái)的好處。

重要的是，公司為他們的業(yè)務(wù)做正確的事情，同時(shí)權(quán)衡相關(guān)的風(fēng)險(xiǎn)。如果組織預(yù)先為這些業(yè)務(wù)做出合適的人選，那么他們可以限制本地管理員權(quán)限并且不會(huì)產(chǎn)生不利后果?？梢猿蜂N(xiāo)一部分用戶(hù)群體的本地管理權(quán)利，或?qū)υ诟唢L(fēng)險(xiǎn)部門(mén)工作的用戶(hù)增加限制，如客戶(hù)服務(wù)和銷(xiāo)售。將這些限制和系統(tǒng)升級(jí)過(guò)程一并實(shí)現(xiàn)，這樣會(huì)讓一些用戶(hù)更容易接受。

無(wú)論如何，IT管理員不應(yīng)該讓猖獗的本地管理員權(quán)限危及他們的組織，而且他們不能給予用戶(hù)所有的權(quán)限后卻不知道為什么企業(yè)會(huì)面臨Windows安全問(wèn)題。