成员计算机上的域管理员和本地管理员的权限有何区别?

成员计算机上的域管理员和本地管理员的权限有何区别?

我在安装自定义 Outlook 插件时遇到了问题。如果我以域管理员身份登录 PC,则可以安装该程序而不会看到 UAC 提示,并且安装正常运行(最终结果:系统的所有用户都有权访问 Outlook 插件)。如果我以域用户身份(即计算机的本地管理员)登录并安装该程序,则会收到“是/否”UAC 提示,并且没有用户可以访问该程序(包括执行安装的用户)。

请允许我用不同的方式来总结。

  • 域管理员:
    • 安装期间是否提示 UAC?:否
    • 程序安装没有错误并且运行正常吗?:是
  • 本地管理员组中的域用户:
    • 安装期间 UAC 提示?:是
    • 程序安装时没有错误并且正常运行吗?:否,因为其他用户(包括域管理员)在 Outlook 中没有可用的加载项。

在原始域环境中,在同一台加入域的计算机上操作时,域管理员和具有本地管理员权限的域用户之间的权限有何不同?

答案1

在正常情况下,域管理员组中的帐户与已添加到本地管理员组的域用户帐户之间的工作站权限没有区别。Windows 主要通过在计算机加入域时将域管理员组放在本地管理员组中来实现域管理员权限,因此从单个工作站的角度来看,这完全是一回事。您可以通过查看加入域的工作站上的本地管理员组并注意到域管理员组作为成员存在来看到这一点。域管理员组在域本身上工作时具有其他权限,并且默认情况下在域中的所有工作站上都​​具有成为本地管理员组成员的好处,但从单个工作站的角度来看,以及可以在该工作站上执行的操作,根本没有区别。还要记住,这只是“正常情况”;您可以配置您的域或工作站,以使事情有所不同。

这意味着默认情况下,域管理员用户仍需要通过 UAC 提示来安装您的应用。如果您没有看到 UAC 提示,则表明您不再拥有“原始域环境”,并且有人故意在您的域上禁用了此功能……可能是通过组策略。这是一个坏主意。您应该考虑重新启用它。这与具有管理员权限的普通用户之间的区别在于,有人花时间关闭了 UAC。如果我没记错的话,禁用 UAC 也是每个帐户(实际上是每个配置文件)的功能,因此这甚至可能是您必须为自己的帐户执行的操作。

现在的问题是如何解决这个问题,以允许您的本地管理员域用户安装您的软件。为此,重要的是要记住 Windows 中管理员帐户的默认工作方式。自 Windows XP 以来,情况发生了变化。从 Vista 开始,包括 Windows 7 和 8,您绝不默认具有管理员权限,即使您属于管理员组, 有时即使您通过了 UAC 提示。如果您确实想在 Windows Vista 及更高版本中使用管理员权限,则需要右键单击该应用程序或安装程序并选择该Run as Administrator选项。这样做可能会允许您的域用户帐户成功安装该程序,以便工作站上的任何用户都可以使用该插件。

在这种特殊情况下,您也可以通过更改应用程序安装位置的某些文件系统权限来解决此问题。默认情况下,标准用户对可能安装了您的加载项的 Programs Files 文件夹没有任何写权限。您可以通过查找应用程序的文件夹并设置该文件夹的权限来解决问题,以便标准用户具有写权限。但是,由于我们正在处理 Office 加载项,我怀疑问题更可能是注册表项的写权限,或者在安装时缺少写权限,因此现在缺少预期的注册表项。如果是这种情况,可能仍然可以使用此类解决方法,但找出和实施起来会困难得多。

相关内容