如果计算机是 Windows 2003 域的一部分,是否应启用 Windows 7 本地管理员配置文件?

如果计算机是 Windows 2003 域的一部分,是否应启用 Windows 7 本地管理员配置文件?

如果计算机是 Windows 2003 域的一部分,是否应启用 Windows 7 本地管理员配置文件?

用户是不是管理员在自己的工作站上。我想知道如果我已经以域管理员身份登录过计算机一次,我是否需要在计算机上拥有本地管理员帐户。

答案1

不,不应该。Microsoft 建议禁用或重命名默认管理员帐户作为最佳实践。

话虽如此,你确实想要A本地管理员,否则,如果机器失去域信任(或域连接)并且您需要以管理员权限登录才能纠正该问题,您将面临很大的麻烦。

您可以禁用默认管理员帐户,并使用组策略设置新帐户。我采取将其重命名为虚构人物方法。

  • 执行此操作的路径(通过组策略管理编辑器)是:Computer Configuration--> Policies--> Windows Settings--> Security Settings--> Local Policies--> Security Options,您将看到一堆相关选项,特别是Accounts: Administrator account statusRename administrator account

答案2

就我个人而言,我通过启动脚本启用本地管理员帐户。(该脚本还设置密码 - 根据客户站点,密码可能是每台机器的唯一密码,也可能是所有机器的“统一”密码。)

如果计算机的域信任关系中断,这将为我提供一个可以解决问题的帐户。我很少需要它们,但是当我需要它们时,它们会很有用。

我曾考虑过创建一个相当于管理员的帐户,使用随机选择的名称和随机的每台机器密码,并禁用常规管理员帐户,但还没有决定这样做。密码也不应该使用启动脚本来设置,因为用户很容易读取脚本(即使您限制对“域计算机”的访问——在大多数 AD 部署中,用户很容易获得“域计算机”权限)。这可能是我的下一个迭代...

答案3

您需要将其保留在那里并启用,以防机器因某种原因失去与域通信的能力(这种情况会发生)。没有它,您将无法将机器从域中移除并将其重新加入域。只需确保它有一个强密码,最终用户不知道是什么。

答案4

由你决定。

保留理由:

  • 如果域成员身份失败,则需要本地管理员将其重新加入域。

不保留的原因:

  • 如果域成员资格失败,您可以启动恢复 CD 来获取计算机上的文件,然后重新进行映像处理。

相关内容