我第一次能够将新的 Windows 工作站添加到我的域中。[多年来,我们一直使用“独立”2k 服务器,而不是 DC,并且我们所有的工作站都是 Windows Home] 现在我有一些新的 Windows 7 Pro 工作站,我想将它们加入到域中。当我这样做时,在新的工作站上安装软件时,唯一可以解决 UAC 挑战的登录名是服务器的“管理员”。从“相关问题”中的一项中,我发现只有“管理员”有效,因为我的其他管理员登录名是针对服务器的,而不是针对域的。
我需要用户拥有完全的本地控制权,并能够安装自己的软件。我在本地计算机上创建了“管理员”帐户,但它们当然不会覆盖 Active Directory 中的权限。我阅读了大量有关“受限组”和组策略对象编辑器以及创建 localAdmin 组的内容,但我的域的策略对象树与我见过的示例完全不同。有没有更简单的方法?我能否对 myDomain\Computers 下每个工作站的用户访问权限进行一些操作?如果没有,我在哪里可以找到从头开始构建正确策略和权限的入门指南?谢谢
答案1
您在这里混淆了两个问题:本地管理员权限和 Windows 7 的用户帐户控制。
获取本地管理员权限可以通过多种方式实现:成为域管理员、将用户/组添加到工作站上的本地管理员组(手动或通过机器启动脚本),或使用“受限组” GPO 设置。
然而,即使是本地管理员也可能不够:UAC 就是为此而存在的,它通过以下方式保护用户免受自己错误的影响:不是赋予他们充分的地方行政权利即使他们确实合法拥有它们,从而迫使他们明确地说明是否/何时他们想要以完全管理权限执行操作。
UAC 还可以发现用户需要管理权限但没有管理权限的情况;在这些情况下,它可以(如果配置如此)自动提示用户输入其他用户帐户的登录凭据,这些用户帐户可能拥有比他们当前使用的帐户更多的权限。
如果用户没有管理权限并尝试执行某些需要这些权限的任务时,UAC 将提示另一次登录。
如果用户实际上有如果您拥有适当的权限但 UAC 处于活动状态(这是其默认设置),它将要求用户确认;要绕过此问题,您可以右键单击要运行的程序并选择“以管理员身份运行”选项。
如果您愿意,您可以在系统的控制面板中或通过组策略(如果您有 Windows Server 2008 R2 域控制器,或者在以前版本的域中导入了最新的组策略管理模板)微调(甚至禁用)UAC。