通常认为微软Windows处理使用权限和安全的方式有些笨拙和不精细。比如,当一个用户有着次用户权利的时候,你很难在不改变他的组别的情况下有选择性的提高他的使用权限。如果他们想运行一个需要管理员权限的应用程序,管理员就需要一种方法使得在不改变他们的用户组别的情况下让他们能够运行程序。
虽然这种机制是存在的,但是它几乎没有用。你很难对于某个操作给予一次性的拒绝或允许。
解决这一问题的最好的第三方软件是Winternals Protection Manager。这个软件可以让管理员更精确的指定用户的使用权限,明确的规定什么样的用户或组别可以运行那些程序。
电脑中每一个程序都给出了四种控制级别:禁用、对某些用户可用、对管理员可用或是可用。‘禁用’功能与组策略中列出的程序黑名单无关;你可以设置它为除管理员指定程序外所有程序禁用。(你可以用模糊信息、文件名、所有者或是其它方法定义可用程序。)这个程序有个额外的好处:因为任何没有得到特殊许可的程序都会被限制,所以病毒和间谍软件就很难突破这一关。
另一个Windows没有提供的性能是有‘许可申请’。当一个用户尝试运行一个禁用的程序,他可以不用改写自己的安全策略直接向管理员发出申请。管理员也可以看到正在运行的所有程序的运行者,并由此建立限制策略。这样他们就可以得到实时信息,而不是猜测或是手工得到这些信息。
