Windows 计算机上的本地管理员用户

我曾在一个大约有 120 人的研究机构工作。只有大约 30 人可以使用锁定的机器进行工作，其他 90 人是研究人员或技术人员，他们必须使用晦涩难懂的软件，其中许多人必须在偏远地区工作，我们能给他们的唯一帮助就是通过电话（即没有远程桌面连接到他们的笔记本电脑来使某些工作正常进行）。

虽然“大多数不错的现代软件不再需要管理员权限”，但我们不得不处理大量不太不错的应用程序，这些应用程序需要管理员权限才能安装和运行。其中一些是内部编写的软件，或者由其他研究人员和研究生编写的软件，之所以需要这些软件，是因为其科学准确性，而不是软件的质量或对最佳实践的遵循。

其中一些是用于数据采集和过程控制的软件，旨在在工业环境中的专用机器上运行。在这种情况下，即使有人脱离了控制应用程序，他们有立即重新启动它，因为一些大型、危险的设备依赖于它。但当这些应用程序在我们的环境中使用时，它们并不是那台电脑上运行的唯一程序。

我们还拥有一种企业文化，即科学家需要做的任何事情都是可以的，IT 必须让其发挥作用。当使用 Win3.1、95、98 时，它不会喋喋不休，但一旦我们进入 NT4 Workstation，我们就必须开始处理管理员问题。

我们（勉强）使用了各种解决方法来处理这种情况，针对每种情况采用不同的组合方法：

• 对于我们实验室使用的工业控制应用程序，RunAs 通常有效。高级技术人员将拥有具有本地管理员权限的帐户的密码，他们将为其他技术人员启动应用程序。

• 对于一些科学家，我们在他们电脑上为他们提供了具有管理员权限的本地帐户。如果他们需要安装某些东西，他们可以退出网络，在本地登录并安装，然后再次退出并重新进入网络。或者他们会使用 RunAs。他们都不喜欢这样做，但几乎每个人都曾让电脑死机到需要重新安装的地步，所以他们忍受了。

• 这些不起眼的程序都无法通过组策略进行安装，但是我们花了大量时间来构建幽灵映像并确保数据已备份，这样就不会花费太多时间擦除并重新安装出现问题的机器。

• 在某些情况下，我们会将有问题的软件的机器放在受限的 VLAN 上，但如上所述，这样做的问题是，即使以管理员身份运行，它们也经常需要访问主公司网络

• 对于一个部门，我们曾一度为每个人提供 2 台机器 - 一台锁定，一台具有管理员访问权限。这种情况持续了一年，直到他们都厌倦了没有在“主”办公室电脑上使用所有工具。

• 对于一些偶尔需要管理员访问权限的科学家，我们会设置具有管理员权限但密码超长的账户。当他们需要访问权限时，我们会告诉他们密码，因为他们永远不会记住甚至懒得写下来。

• 我离开时，我们开始研究虚拟机 - 为他们提供 VMWare Workstation 或 Player 以及他们有管理员访问权限的几个不同的虚拟机。如果我再次遇到类似的情况，我会关注这些。

对于这种情况，我会采取以下两种方法之一：

1. 对于那些经常摆弄不同程序的人来说，安装 VMWare 工作站并拥有一个基础虚拟机存储库，他们可以根据需要从网络中提取并启动这些虚拟机。

2. 第二个稍微贵一点，但我会选择 VMWare ESX + Virtual Center* 之类的东西，这样您就可以创建他们可以部署的基本模板。为他们提供一个不错的小沙箱，让他们拥有完全的管理员权限。允许他们根据需要创建和销毁虚拟机。如果所有 70 个人都需要一直使用不同的东西，这才是真正合理的。这还可以让他们在安装某些东西或调整设置之前对机器进行快照，以便他们可以快速回滚，同时它还允许您让他们访问更多种类的操作系统，而不必摆弄他们的日常机器。

*或任何您了解/能负担得起的类似虚拟化技术 - Xen、Hyper-V、KVM 等。

两点

1. 大多数现代软件不再需要管理员权限才能安装（也不应该需要）。我在一个没有管理员权限的系统上工作，并且安装了 Firefox、Thunderbird、OpenOffice.org 等软件，没有任何问题。因此，请尝试找出人们是否真的需要管理员权限。
2. 即使他们有权限，也请考虑为他们提供一个没有管理员权限的帐户，并在绝对必要时提供密码以升级（使用 Run As）为管理员。这样可以减少暴露的窗口。可能需要一些教育，但比始终以管理员身份运行要好。

2个简单的建议：

1. 邮政总局
2. 高级用户 (本地组)

您可以根据您的特定需求自定义 GPO。这就是我要做的...