Цитата winbond:
|
Если я зайду по RDP на сервер под учеткой доменного админа и попытаюсь прописать что-то в Local Machine, в %systemroot% или поставить драйвер - запрос UAC вылезет(sudo, да)
|
Согласен. У меня в домене админовские права имеет, только сисадмин. И только он имеет право сидеть на сервере локально или терминально под админовской учеткой. И если он, мягко говоря, не в себе, то никакие UAC-и его не остановят. Тут надо разбираться с сисадмином. В данном случае эффект от UAC стремится к нулю.
Цитата winbond:
|
и попытаюсь прописать что-то в Local Machine, в %systemroot% или поставить драйвер - запрос UAC вылезет
|
А кто мешает сделать это в сетевом доступе? И UAC даже не крякнет. Опять эффект - ноль.
Цитата winbond:
|
Если не вылезет - повод для конкретной проверки по всем фронтам и смены паролей
|
ПОЗДНО! Поздно пить боржоми. Уже случилось. Кроме смены паролей, надо ещё прошерстить всю систему на предмет руткитов, эксплоитов и т.п., иначе смена паролей ни к чему не приведёт. И ещё не факт, что после этой чистки система будет девственной. Эффект - 0
Цитата winbond:
|
Пользователь сидящий на терминал-сервере с выключенным UAC заходит на сайт с шестью эксплойтами и все 6 пытаются отработать по поводу дырок в браузере, ОС, флеше, акробат ридере, яве - и никто об этом не узнает.
|
На то он и Пользователь, чтоб сидеть с правами пользователя, и UAC ему как мертвому припарки. Если пользователя останавливает, точнее пытается остановить, только UAC, то гоните в шею своего сисадмина и меняйте сервера. Потому что уже тоже поздно. Эффект...
Кстати, работали и до сих пор работают сервера на 2003-м. Без всякого UAC. И никто не жалуется что они "уже не наши". Всё зависит от квалификации админа. Поэтому первое правило, не брать на работу "студентов", чтоб дешевле было. А если и брать, то под чуткую опеку квалифицированного админа, чтоб он рассказал, показал, научил и проконтролировал.
И так, мое мнение все таки, что UAC в помощь пользователям, которые сидят на своих компах под админовскими учетками (читай - домашние пользователи), что в корпоративной среде не допустимо. И UAC фича которая досталась Серверу в наследство от Win 7/8, по принципу "хуже не будет".
