我需要为每个用户提供管理员权限,但用户不应该能够更改网络配置设置。
为此,我在用户配置\管理模板\网络\网络连接中启用了以下策略
为管理员启用 Windows 2000 网络连接设置
禁止访问 LAN 连接的属性
禁止访问 LAN 连接组件的属性
用户(存在于管理员中)仍然可以更改 LAN 属性。
还有其他解决方案吗?
答案1
您的思路是倒着的。如果常规用户需要更多权限,那么就给他们分配更多权限。这不是“管理员权限”或“非管理员权限”。Windows 有更多细粒度的权限可用。Windows 中权限的整个设计结构是给予用户额外的权限,而不是授予对所有内容的访问权限,然后明确拒绝某些内容。
您可以指定一组用户拥有特定权限来执行您想要他们执行的操作。我建议您为相关用户创建一个新的安全组,并赋予该组您想要的任何访问权限。
如果您希望一组用户能够以提升的权限运行软件(即以管理员身份运行),那么您可以授予他们该权限。您甚至可以设置该策略的范围,以便他们仅在某些计算机组上拥有这些权限。
搜索如何向用户授予您需要他们拥有的特定权限