如何允许标准用户安装程序？

Question 1

是的！我做到了！以下是我所做的：

单击Start并输入cmd。cmd.exe出现后，右键单击并选择Run as Administrator（这允许您在较高级别运行命令提示符）。
输入net localgroup Power Users /add /comment:"Standard User with ability to install programs."并按回车键。
现在您需要分配用户/组权限。下载ntrights.exe自这里。这些是来自七个论坛：

A) 打开下载的 .zip 文件，然后将 ntrights.exe 文件提取（拖放）到您的桌面。

B) 右键单击 ntrights.exe 文件，单击“属性”、“常规”选项卡，然后单击“解除阻止”按钮（如果可用）。注意：如果“常规”选项卡下没有“解除阻止”按钮，则表示该文件已解除阻止，您可以继续执行步骤 1C。

C) 右键单击 ntrights.exe 文件，然后单击移动。

D) 打开 Windows 资源管理器并导航到 C:\Windows\System32 文件夹并打开，然后粘贴 ntrights.exe 文件并将其移动到这里。

E) 如果出现提示，请单击“继续”和“是”以批准将 ntrights.exe 文件移动到 System32 文件夹，然后关闭 Windows 资源管理器窗口。

在提升的命令提示符下（参见步骤 1），键入ntrights -U "Power Users" +R SeNetworkLogonRight并按回车键。再次输入相同的内容，只需将其更改SeNetworkLogonRight为其他内容。您可以尝试以下操作：
- SeInteractiveLogonRight
- SeChangeNotifyPrivilege
- SeSystemtimePrivilege
- SeTimeZonePrivilege
- SeCreatePagefilePrivilege
- SeCreateGlobalPrivilege
- SeCreatePermanentPrivilege
- SeIncreaseWorkingSetPrivilege
- SeIncreaseBasePriorityPrivilege
- SeLoadDriverPrivilege
- SeSystemEnvironmentPrivilege
- SeManageVolumePrivilege
- SeProfileSingleProcessPrivilege
- SeSystemProfilePrivilege
- SeShutdownPrivilege

有关用户权利和解释的完整列表，请参阅下面的评论（我不能发布超过两个链接；如果有人想编辑此链接以添加链接，请随意）。

完成后，您需要授予新的“高级用户”组写入 C 盘的权限。打开我的电脑，右键单击 C 盘，然后转到Properties。单击Security选项卡。单击Edit...然后Add...在大框中Enter the object names to select键入Power Users并Check Names单击OK。
在标题下Group or User Names，您将看到“高级用户”。单击它，然后单击旁边的复选标记Full Control。它应该会自动选中其他所有内容，但如果没有，请手动选中其他所有内容。唯一无法选中的是，因为它是灰色的Special Permissions。单击应用，它将授予您的组权限。忽略出现的任何错误并继续（我认为在步骤 4 中分配组权限可以解决这个问题）。

7. 再次打开提升的命令提示符（步骤 1），然后键入net localgroup "Users" "Power Users" /ADD这会将您的高级用户组嵌套在用户中，这样它基本上是一个标准用户帐户，但具有额外的权限。

键入net localgroup "Power Users" user_000 /ADD（user_000 是您要保留为标准用户并允许安装程序的帐户的用户名）。这仍会将您的用户保留在用户组中，但也会将用户添加到新的高级用户组（因此它是多个组的一部分）。注意：如果您的用户使用 Microsoft Passport 登录，您可以通过单击Start并键入control userpasswords2并按回车键来查找您的用户名。然后单击您需要查找名称的用户帐户，然后单击Properties您将看到您的实际用户名。

全部完成！您会注意到家庭安全仍然有效，但用户无法更改其设置或提供额外时间或解锁网站等。用户也无法使用用户帐户功能添加其他用户。但用户可以安装程序。:)

Answer

是的！我做到了！以下是我所做的：

单击Start并输入cmd。cmd.exe出现后，右键单击并选择Run as Administrator（这允许您在较高级别运行命令提示符）。
输入net localgroup Power Users /add /comment:"Standard User with ability to install programs."并按回车键。
现在您需要分配用户/组权限。下载ntrights.exe自这里。这些是来自七个论坛：

A) 打开下载的 .zip 文件，然后将 ntrights.exe 文件提取（拖放）到您的桌面。

B) 右键单击 ntrights.exe 文件，单击“属性”、“常规”选项卡，然后单击“解除阻止”按钮（如果可用）。注意：如果“常规”选项卡下没有“解除阻止”按钮，则表示该文件已解除阻止，您可以继续执行步骤 1C。

C) 右键单击 ntrights.exe 文件，然后单击移动。

D) 打开 Windows 资源管理器并导航到 C:\Windows\System32 文件夹并打开，然后粘贴 ntrights.exe 文件并将其移动到这里。

E) 如果出现提示，请单击“继续”和“是”以批准将 ntrights.exe 文件移动到 System32 文件夹，然后关闭 Windows 资源管理器窗口。

在提升的命令提示符下（参见步骤 1），键入ntrights -U "Power Users" +R SeNetworkLogonRight并按回车键。再次输入相同的内容，只需将其更改SeNetworkLogonRight为其他内容。您可以尝试以下操作：
- SeInteractiveLogonRight
- SeChangeNotifyPrivilege
- SeSystemtimePrivilege
- SeTimeZonePrivilege
- SeCreatePagefilePrivilege
- SeCreateGlobalPrivilege
- SeCreatePermanentPrivilege
- SeIncreaseWorkingSetPrivilege
- SeIncreaseBasePriorityPrivilege
- SeLoadDriverPrivilege
- SeSystemEnvironmentPrivilege
- SeManageVolumePrivilege
- SeProfileSingleProcessPrivilege
- SeSystemProfilePrivilege
- SeShutdownPrivilege

有关用户权利和解释的完整列表，请参阅下面的评论（我不能发布超过两个链接；如果有人想编辑此链接以添加链接，请随意）。

完成后，您需要授予新的“高级用户”组写入 C 盘的权限。打开我的电脑，右键单击 C 盘，然后转到Properties。单击Security选项卡。单击Edit...然后Add...在大框中Enter the object names to select键入Power Users并Check Names单击OK。
在标题下Group or User Names，您将看到“高级用户”。单击它，然后单击旁边的复选标记Full Control。它应该会自动选中其他所有内容，但如果没有，请手动选中其他所有内容。唯一无法选中的是，因为它是灰色的Special Permissions。单击应用，它将授予您的组权限。忽略出现的任何错误并继续（我认为在步骤 4 中分配组权限可以解决这个问题）。

7. 再次打开提升的命令提示符（步骤 1），然后键入net localgroup "Users" "Power Users" /ADD这会将您的高级用户组嵌套在用户中，这样它基本上是一个标准用户帐户，但具有额外的权限。

键入net localgroup "Power Users" user_000 /ADD（user_000 是您要保留为标准用户并允许安装程序的帐户的用户名）。这仍会将您的用户保留在用户组中，但也会将用户添加到新的高级用户组（因此它是多个组的一部分）。注意：如果您的用户使用 Microsoft Passport 登录，您可以通过单击Start并键入control userpasswords2并按回车键来查找您的用户名。然后单击您需要查找名称的用户帐户，然后单击Properties您将看到您的实际用户名。

全部完成！您会注意到家庭安全仍然有效，但用户无法更改其设置或提供额外时间或解锁网站等。用户也无法使用用户帐户功能添加其他用户。但用户可以安装程序。:)

Question 2

家长控制（或家庭安全）可能不再是完成任务的正确工具。根据更大的情况，其他方法可能更合适：

也许将儿子的账户添加到高级用户用户组就足够了（尽管我不确定它是否有权访问家长安全功能）。高级用户拥有超出一般用户类别的权限，但并不是完全成熟的管理员。这差异总结虽然很老旧，但总体上还是相关的。
也许限制互联网访问通过路由器是一种选择。例如，有些家庭会限制设备访问互联网，以鼓励睡眠。实际过程因实际路由器而异（链接的说明适用于 Linksys），但使用您喜欢的搜索引擎应该相对容易找到。
更大胆一点，你可以设置一个代理服务器，限制全天访问特定网站。这听起来比实际困难得多，不过现在使用自定义代理服务器或代理服务器都可以相当便宜地做到这一点路由器固件甚至是更旧的专用PC。

根据我的经验，家庭安全在某些场景下很有用，但不能替代适当的访问管理。此外，也许是时候考虑将 Windows 升级到 Pro SKU 或甚至不再使用 Home SKU 的较新版本了。

希望这可以帮助...

-- 兰斯

PS 到目前为止，所建议的特权提升方法面临的问题是它们需要访问提升的凭据。您要么最终将提升凭据保存到硬盘驱动器（安全禁忌），要么最终必须提供凭据，因此不会节省任何时间/精力。实际上，根本问题是信任和时间管理。这是一个家长问题，没有软件可以真正有效地管理。（这是我的个人观点，您的观点可能有所不同。）

Answer