是否可以在 Windows 中创建“半管理员”帐户?例如,是否可以创建一个额外的管理员帐户,唯一的限制因素是该帐户的权限层次低于原始管理员帐户(即,它不能终止原始管理员帐户启动的任何进程,也不能取得其文件的所有权等)。
我在互联网上找不到任何关于此问题的讨论,而且我自己也很难做到这一点。
理论上这应该可行。如果 Windows NT 支持服务器的类似功能,那么普通的 Windows 7 非企业版肯定也可以实现?
提前致谢
数字化转型
答案1
总结:
在 Windows 中,权限本身不是分层的,因此您无法根据用户的“级别”分配权限。它们是分配给每个用户的资源的单独权限。维恩图是一个很好的类比 - 如果用户属于正确的圈子,他/她可以执行相关操作。
更详细地
在 Windows 中,每个资源(文件、进程、注册表项等)都有一个访问控制列表 (ACL),其中包含一个或多个条目,用于定义哪些用户对该资源拥有哪些权限。此外,您可以(并且应该)将权限分配给一个组并将用户添加到该组。
管理员只是属于某个组(管理员)的用户,默认情况下,该组拥有所有资源的所有权限(嗯,实际上是大多数,但那是另一篇文章)。
还有其他默认组具有这些权限的子集,可能适合您的要求:
当地团体:https://technet.microsoft.com/en-us/library/cc771990(v=ws.11).aspx
Active Directory 组:https://technet.microsoft.com/en-us/library/dn579255(v=ws.11).aspx
您还可以创建自己的组,将一部分权限分配给一部分资源:https://technet.microsoft.com/en-us/library/cc754344(v=ws.11).aspx
设置权限有许多细微差别,以便它们(1)具有预期的效果,并且(2)可维护,我强烈建议在深入了解之前阅读一些最佳实践,但 NTFS 权限的一些一般指针是:
- 将用户添加到组并将权限分配给组(而不是用户!)
- 使用嵌套组以便更好地组织,例如 U:BSmith -> G:Accounting -> G:PayrollUsers -> ACL
- 赋予团体完成团体定义的工作所需的最小特权
- 权限是附加的。即,如果用户属于两个不同的组,则他们被允许执行任一组可以执行的任何操作。
- 拒绝权限优先于允许权限。即,如果用户属于两个不同的组,则允许他们执行任一组可以执行的所有操作,减去任一组明确拒绝执行的操作。
如果你正在做任何关键任务,我强烈建议找一个有经验的人来帮助你。有很多方法会导致意想不到的副作用。