我遇到了一个棘手的情况。我们公司有一台运行 Windows XP 的计算机。在我加入之前,公司没有 IT 人员,有人使用域管理员帐户在那台计算机上设置了一个具有重要邮件室功能的配置文件。
我想改变这种情况,不让邮件室的低级员工访问整个网络的域管理员帐户,但我面临的问题是该配置文件上的应用程序无法复制。我们曾尝试在另一个配置文件中复制它们,但各种设置都无法正常工作,一些软件需要重新安装,而且软件很旧,公司不再有安装程序(软件开发人员已经转向使用新版本,但这些版本不适用于我们的系统。唉。)
有什么方法可以让我保留此配置文件及其设置,但使其不再是管理员配置文件?我甚至不关心它是否是机器上的本地管理员,只是它不再使用与域管理员帐户相同的密码。
短暂性脑缺血。
答案1
- 在 AD 中创建一个新用户 AppAdmin1,将该帐户添加为 XP 计算机上的本地管理员。不要将其设为域管理员。
- 在 AD 中创建第二个用户 AppAdmin2,将该帐户添加为 XP 计算机上的本地管理员。不要将其设为域管理员。
- 使用 AppAdmin1 AD 帐户登录 XP 计算机。这将创建本地用户配置文件。
- 登出。
- 使用 AppAdmin2 AD 帐户登录 XP 机器。
- 注销并重新启动。(这将清除所有用户配置文件中打开的文件。)
- 使用 AppAdmin2 AD 帐户登录 XP 机器。
- 使用配置文件向导将 XP 计算机上的域管理员帐户配置文件复制到 AppAdmin1 配置文件。这也可以使用 MoveUser 完成,但 ProfWiz 效果更好。
- 重新启动,以 AppAdmin1 身份登录。
- 测试应用程序。
- 一旦确认在 AppAdmin1 下工作,请更改域管理员帐户的密码。
- 创建 XP 机器的映像,以便在现有硬件出现故障时可以将其作为 VM 运行。HyperV、Xen、VMWare 都可以做到这一点。
- AppAdmin2帐户可以被删除。
答案2
打开 Active Directory 用户和计算机,找到您在 XP 机器上使用的域管理员用户帐户。您应该能够将该用户帐户更改为非域管理员帐户,这是假设安装的所有程序实际上都不需要域管理员才能正常运行。
如果这是您唯一的域管理员帐户,您应该创建其他帐户,以便可以继续管理您的域。
答案3
其他建议都很棒,可能比我的更容易。但是,如果您想修复应用程序的问题,那么一旦将链接和文件从现有域管理员配置文件中拖过来,很可能只需要修复本地权限。多年来,我发现懒惰的程序员(通常是与您一起工作的程序员)不会费心去做让应用程序不需要本地管理员权限的工作。像 systernals filemon 和/或 procmon 这样的程序可以让您了解机器/应用程序正在做什么以及应用程序无法加载/启动/运行的原因。通常,它缺少/限制了注册表/文件/文件夹设置,可以本地更改这些设置以供非管理员用户允许应用程序运行。如果它是一个数据库驱动的应用程序,那么它很可能正在使用可能缺失的 ODBC 链接,需要将其添加/从一个用户配置文件移动到另一个用户配置文件。虽然作弊通常是让 AD 中的普通用户帐户成为本地管理员,而且大多数情况下它都能解决问题。虽然这并不是真正的最佳做法。