Ist es (und wie viel) riskant, die volle Kontrolle über den Systemordner zu gewähren?

Wie hoch ist das Risiko, um einem Administrator volle Kontrolle über den Systemordner zu gewähren? Was ich eigentlich brauche, ist die Host-Datei im System32-Ordner zu bearbeiten, damit ich einem Administrator die volle Kontrolle über den Systemordner gewähren kann?

Diese Nachricht besagt, dass dies die Systemsicherheit verringern kann:

Es ist völlig normal, dass die Admin-Gruppe vollständige Kontrolle über Ihren Screenshot hat

In der Praxis sind Administratoren die einzigen Benutzer, die der Gruppe "Administrator" zugewiesen werden sollen. Sie sind normalerweise Personen, die dem Unternehmen vertrauen und gut bezahlen, damit alles funktioniert.

Es ist absolut normal und sicher, dieser Gruppe nur vertrauenswürdige Personen zuzuweisen, d. H. Systemadministratoren oder einige vertrauenswürdige Entwickler.

Wenn jeder durchschnittliche Joe im Unternehmen zu dieser Gruppe gehört, kann dies zu großen Problemen führen. Wenn dies der Fall ist, würde ich empfehlen, es sofort zu ändern. Andernfalls könnten Ihre Server / Netzwerke mit Malware von einigen Benutzern infiziert werden, die Dateien aus dem Computer herunterladen falsche Website

Ich würde empfehlen, einige dieser Videos anzuschauen, um Benutzer, Gruppen und Berechtigungen besser zu verstehen

Erstellen und Verwalten von Gruppen in Active Directory unter Windows Server 2012 https://www.youtube.com/watch?v=C3UV3RTW7HI

Einführung in die Datei- und Freigabeberechtigungen in Windows Server 2012 https://www.youtube.com/watch?v=fJHFmt6F0Rc

Erstellen und Verwalten von Benutzerkonten in Active Directory unter Windows Server 2012 https://www.youtube.com/watch?v=DrNwJraGfjQ

Um Ihr Problem speziell auf die hosts Datei ... Sie müssen nur Notepad erhöhte ausführen und dann Datei- & gt; Öffnen zum Bearbeiten verwenden. Sie können nicht einfach aus einem Explorer-Fenster darauf doppelklicken. Insbesondere diese Datei ist gesperrt.

Abgesehen davon die Standardberechtigungen für \Windows und \Program Files Verzeichnisse sind eigentlich ziemlich spezifisch und es gibt einige ACL-Trickserien, die schwer wiederherstellbar sind, wenn Sie die Berechtigungen ändern. Sie können dies in den erweiterten Einstellungen sehen. Viele spezielle Berechtigungen für verschiedene Ebenen. Sie sollten niemals die Berechtigungen für die Betriebssystemverzeichnisse oder das Stammverzeichnis des Laufwerks C: ändern. Andernfalls kann es zu ernsthaften Problemen kommen, die Sie nur durch das Ablegen eines Full Conttrol an einem anderen Ort rückgängig machen können, wodurch die Sicherheitslage tatsächlich schlimmer wird als zuvor.

Wenn die Benutzerkontensteuerung aktiviert ist (was Sie eigentlich nicht aus einem bestimmten Grund ausschalten sollten), bietet Windows zusätzlichen Schutz für die \Windows und \Program Files Verzeichnisse, so dass selbst Administratoren dort keine Dateien schreiben können, ohne ihre Berechtigungsnachweise explizit zu erhöhen.

Wenn Sie der Meinung sind, dass die Sicherheit des Systems zu hoch ist, sollten Sie die Zugriffsrechte der Benutzer ansprechen, anstatt zu versuchen, die Verzeichnisberechtigungen zu ändern.