我有 3 个用户帐户。两个管理员用户帐户和一个标准用户帐户。我不希望任何管理员帐户能够更改其他管理员帐户的密码。简而言之,我希望所有 2 个管理员帐户彼此独立,并且其中任何一个都不能更改其他帐户的密码。组策略中是否有任何规则可以设置来强制执行此操作?
现在,如果我在控制面板中使用管理员帐户登录并查看用户帐户,它会显示此选项“管理其他帐户”,通过该选项我可以更改其他管理员帐户的密码。我不应该这样做。请帮忙。
答案1
另一个答案中已经提到过,但为了澄清事实,我决定仍然写一个答案。
是的,添加到本地管理员组的用户可以完全控制该计算机,并且可以在该计算机上执行任何操作,包括更改其他本地用户。
但是,请注意我是如何书写本地用户的。
虽然本地管理员可以对本地计算机执行任何操作,但他们无法更改域帐户,因为这需要访问域控制器。
如果您想阻止本地管理员更改其他用户的密码,您将需要使用域控制器,将计算机添加到域并将用户帐户迁移到域控制器。
此后,本地管理员仍然可以在该电脑上执行很多操作,但如果其他管理员是域用户,他们就无法再更改其他管理员的密码。
也就是说,通过管理员访问权限,您可以创建本地用户,并使用该用户登录。
还要注意的是,虽然许多任务似乎需要管理员访问权限,但这并不总是必要的。当任务由于权限不足而失败时,会请求管理员访问权限。例如,在 C:\Program Files 中安装程序需要管理员访问权限,因为默认情况下,普通用户可能无法写入此文件夹。如果您将此文件夹设置为普通用户可以写入,那么他们不再需要管理员访问权限来安装仅将程序放置在该位置的程序。同样,本地计算机注册表配置单元也有类似的限制,也可以类似地打开。
我建议不要让每个人都具有写权限,但您可以将这些特定用户添加到具有写权限的位置,而且他们可能首先不需要管理员帐户。