有疑问像这样,人们要求做让非管理员用户创建管理员帐户这一不可能的事情。
但我的问题有点不同:非管理员用户可以创建另一个非管理员用户吗?
在我理想的设置中,我需要一个管理员帐户、一个可以创建其他非管理员帐户的非管理员“管理员”帐户,然后是各种没有权限创建新帐户的其他非管理员帐户。(我已经在 Google 上搜索过了,但似乎找不到合适的词组来搜索,因为我得到的唯一结果是人们试图让自己成为管理员或创建管理员帐户。)
这可能吗?谢谢。
编辑1: 机器上有一个域用户,但我认为这不会影响本地用户创建另一个本地用户的能力。phi 的答案仍然有用,因为完整的解决方案既需要“管理员”帐户是 AD 帐户的解决方案,也需要管理员是本地帐户的解决方案。我会尝试找到这些 AD 选项的位置,希望能够说它是否有帮助。
答案1
使用 Active Directory 设置,您可以只授予人们创建帐户的权限。他们通常可以登录,但如果管理员无权编辑管理员组、所含组和组策略,则他们无权进一步拥有权限。
如果没有 AD,您可能需要某种为管理员执行此操作的 Windows 服务(因为 Windows 缺少 setuid/sudo 功能。)