我对为从不在办公室的远程用户设置笔记本电脑时的最佳做法感兴趣。使用 Windows 7 中的 UAC,标准用户所能做的事情受到很大限制。当您不想关闭 UAC 或让用户成为管理员时,您会更改哪些设置以授予他们一些基本访问权限,但同时保持安全?
我最近遇到的一些令人沮丧的事情包括:
- 用户没有管理员权限,无法安装家用打印机
- 用户无法在没有管理员权限的情况下移除损坏的蓝牙键盘连接,因此他们可以重新连接键盘
- 用户无法从其桌面删除全局快捷方式
- 当提示输入管理员密码时,UAC 将切断通过 VNC 连接的访问
上述列表可以无限扩展。一般来说,您会更改哪些设置和权限来为笔记本电脑做好准备,以使其能够以受限用户的身份在旅途中使用,而管理员访问这种情况下最难的就是权限?
作为管理员,当用户不在办公室或无法通过简单的远程桌面连接时,您如何满足用户的需求并轻松提供支持?
答案1
提供一个具有管理员权限的单独帐户,供他们用于这些类型的活动。用户无法使用该帐户方便地访问其网络资源(文档和电子邮件),因此他们不会倾向于一直使用它。他们可以将特权帐户主要用于 UAC 提示,或者甚至可以在有限的极端情况下使用完整桌面登录。
如果该帐户是域帐户,则需要在连接到网络时至少登录一次才能使用(以缓存凭据)。
请注意,要使此方法有效,需要使用组策略强制管理员组,或进行审核以确保他们没有将自己添加到管理员组。有多种方法。
实际上,我们使用在每台计算机上具有相同帐户名的本地帐户来执行此操作,这使得配置 GPO 实施变得容易。但是,本地帐户的密码轮换存在管理问题。如果您同意用户管理本地帐户密码,那么本地帐户方法可能适合您,并且您无需担心本地帐户的缓存凭据。
您可能还想知道 Power Users 组不再具有 Windows XP 上的权限(幸好如此)。但是,如果您真的想搬起石头砸自己的脚,可以将安全模板应用于系统文件、文件夹和注册表设置和权限,以授予 Power Users 以前的访问权限。
Windows Vista 中的高级用户组权限和权利已被删除
http://support.microsoft.com/kb/2028493
用户权利
http://technet.microsoft.com/en-us/library/dd349804%28v=ws.10%29.aspx