在我的活动目录网络上,我想通过授予老板半管理权限来让他满意,这将允许他在紧急情况下在所有计算机上以管理员身份安装程序,但不会牺牲网络的完整性。我可以创建任何类型的管理员组设置或组,以允许他获得基本用户权限 + 以管理员身份安装程序/驱动程序的能力?我不想给他域管理员或任何疯狂的权限,只是绕过 UAC。
我打算授予他通过 GPO 绕过 UAC 的权限,但我是否需要为他创建整个 GPO?这是否太多了?
答案1
在我看来,如果你让他安装东西(而你不信任他),那么你已经破坏了网络的完整性。:)
话虽如此,这里有一个建议:
使用 GP受限群组设置将他的域帐户添加到工作站上的“高级用户”组。
警告:这可能不允许他安装驱动程序,因为它们是系统级的,并且需要管理员权限。
高级用户可以安装软件,但不是完全管理员。有关差异的更多信息,请参阅此 SU 问题:高级用户和管理员之间的区别
教程链接:
- 使用组策略将用户添加到本地安全组(专门讨论将用户添加到高级用户组)
- 使用组策略执行此操作优先反而