我想将笔记本电脑送到现场,但我不想让他们知道管理员密码。因此,我将创建一个具有管理员权限的本地帐户,但我只允许他们在获得我部门的许可后使用该帐户。但是,我不希望将其用于登录目的,但我仍然希望在获得我的许可后将其用于 UAC 提升。他们的标准用户帐户是域的一部分。
我进入Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignmentgpedit 以拒绝本地登录,但它也拒绝 UAC 提升。这可能吗?
答案1
从技术上讲,您正在以其他用户身份登录来执行管理员功能,这就是它不起作用的原因。
但实际上,即使您确实设法实现了您所建议的操作,也仍然无法阻止他们,因为如果他们有管理员密码,他们就可以撤消您为阻止他们所做的一切操作(即:使用runas打开实用程序来创建另一个管理员用户,然后使用该帐户登录)。
或许,你应该花时间和精力来实现对机器的远程访问,这样你就可以根据需要登录并执行管理工作,而不是放弃管理员凭据。
答案2
那是一个非常困难的情况。您可以做的是设置一个办公室 VPN,远程用户可以连接到该 VPN,并且每当他们需要安装或更新任何内容时,您都可以使用已添加到本地管理员组的自己的帐户(AD 安全组的一部分)登录。是的,这意味着您需要做更多的工作,但您不必提供任何管理员密码或拥有本地帐户......
答案3
我一直在为我们的 UPS 软件寻找类似的东西。每天结束时,当程序关闭时,它需要进行更新,这需要一个 UAC 帐户。
我将尝试与 @brianeme 的答案类似的方法。我将尝试在 HKCU\Software\Microsoft\Windows\CurrentVersion\Run 中输入“shutdown -l”,看看这是否会阻止他们登录。
我知道您可以按住 shift 或 control 来绕过这个问题,但值得一试。
谢谢你的想法!
这似乎还不错。登录需要几秒钟,但实际上并没有给你时间做太多事情。
答案4
此网站上有一个人http://www.vistax64.com/vista-security/108026-local-administravtive-users-uac.html提到用 logoff.exe 替换 shell 可能会对本地用户有用。此站点解释了如何通过 GPO 替换用户的 shell。但由于您使用的是本地管理员用户,因此不确定您是否可以实现这一点。