我从事 IT 工作,公司的每个员工都有一个域帐户(Windows Server 2003)。许多人想安装新软件以满足他们的专业需求,而我必须在那里输入管理员密码。
这非常烦人,我决定给予某些用户安装新软件的权限(仅限于我信任且计算机能力高于平均水平的人,所以我知道他们不会安装愚蠢的东西或病毒)。
我发现唯一能做到这一点的方法是将他们的域用户帐户添加到他们 PC 的本地管理员组。我有点不情愿,因为我不知道这种策略的缺点是什么。
您能否举几个例子说明这种做法是否不明智?我再说一遍,我只会向那些我知道不会安装有害软件的人授予此特权。
答案1
想象一下计算机可能发生的最坏情况。授予用户管理权限后,就会发生这种情况。您将主密钥交给他们。是否有任何您不希望用户进行的更改?这无关紧要。您无法阻止管理员。
他们可以撤消、绕过、破坏和绕过您在计算机上设置的任何内容。这包括在域环境中绕过组策略。
此外,他们遇到的任何恶意软件都将继承他们的管理权限,并且也将自由控制计算机。
如果这有什么好消息的话,那就是他们的管理权限仅适用于本地工作站。成为一台计算机上的本地管理员并不意味着授予用户在另一台计算机上的管理权限。