我需要授予用户一些管理员权限,以便当有人提示安装软件时(仅此而已),他可以输入他的凭据,他不是管理员,我不希望他拥有太多的访问权限。
我的域控制器在 Windows Server 2008 R2 上运行,而计算机在 Windows 7 上运行
我试图让他成为高级用户,但显然高级用户现在只是基本用户……或者也许我错过了什么。
让他成为某些计算机上的本地管理员是个好主意吗?有没有更好的(其他)方法可以做到这一点?
另外,我读过有关 AppLocker 的文章,它是让普通用户安装某些软件的好方法吗?
答案1
要安装系统范围的软件大多要求用户必须具有对注册表和文件系统的完全访问权限。
基本上,拥有上述访问权限的用户就是管理员。也许您可以想出一些授予上述权限的组,而无需将他们添加到实际的管理员组中,但这样做毫无意义。有了完整的文件系统访问权限,他们可以简单地做数百种不同的事情之一来破坏系统并授予他们管理员访问权限。
如果用户必须能够安装软件,请让他们成为管理员。顺便说一句,您可以让他们成为仅需要安装软件的机器的管理员。不要不必要地让他们成为域管理员。您可以使用组策略首选项轻松地将他们添加到他们要拥有管理员访问权限的机器上的本地管理员组。