我们的一些用户会对他们的 Windows 计算机进行一些基本的管理。
他们的帐户是普通用户,并且他们有一个本地管理员来执行他们想做的任何事情:安装一些垃圾软件、破坏打印机设置、允许病毒扎根等(我听说他们中的一些人表现得很负责任,但我认为这只是当地的都市传说)。
情况1
- 工作组中的 Windows 计算机
- 只有一个本地管理员,名为“local_admin”
当普通用户需要输入管理员凭证时,弹出窗口会填充“local_admin”,用户只需输入密码即可。
➞ 完美
案例 2
- 工作组中的 Windows 计算机
- 一个名为“local_admin 1”的本地管理员
- 一个名为“local_admin 2”的本地管理员
当普通用户需要输入管理员凭证时,弹出窗口为空,用户必须输入“local_admin x”和密码。
➞ 我们如何预填充“local_admin 1”?
案例 3(我们拥有的那个)
- 名为“company_domain”的域中的 Windows 计算机
- 计算机的名称是“local_name”
- 只有一个本地管理员,名为“local_admin”(但我认为如果有多个,这完全是一回事)
当普通用户需要输入管理员凭证时,弹出窗口为空,但域名已预先填入“company_domain”。因此,用户必须输入用户“local_name\local_admin”和密码,这很不方便,因为他们大多数时候必须记住/记下密码,并将其与便签纸上的密码一起记下。
➞ 如何预填本地计算机的名称来代替域名,或者预填完整的本地管理员名称“local_name\local_admin”?
我们目前为每个用户创建一个 Active Directory 管理员名称,然后配置他们的计算机以将此管理员名称放入本地管理员组(我们也可以从 Active Directory 执行此操作)。
这种方法容易出错,然后导致有问题的管理员权限泄漏。
答案1
我认为这将回答案例 3为你。
在用户计算机上以管理员身份运行本地组策略编辑器。在组策略中,转到本地计算机策略\计算机配置\管理模板\Windows 组件\凭据用户界面。
右键单击“在提升权限时枚举管理员帐户”,单击“编辑”。配置窗口打开。为该设置选择“已启用”。如果启用此策略设置,将显示 PC 上的所有本地管理员帐户,以便用户可以选择一个并输入正确的密码。选择“已启用”,单击“确定”,然后退出本地组策略编辑器。
很棒的是,提示会记住上次经过身份验证的本地管理员帐户。因此,用户只需在下一个 UAC 提示中输入其本地管理员密码即可。本地管理员按字母顺序列出(在 Windows 8.1 pro 上测试)。
答案2
这正是 Microsoft 设计用户帐户控制的目的。只需将他们的个人帐户设为本地管理员。他们会收到 UAC 提示并单击“是”。无需输入。http://windows.microsoft.com/en-us/windows/what-is-user-account-control#1TC=windows-7
答案3
对于情况 3,如果您的“local_admin”帐户的名称是Administrator,最近的 Windows 版本足够智能,可以假设您真正想要登录本地计算机而不是域,并会为您更改这一点。在那些您确实需要成为域管理员的罕见情况下,这很烦人,但现在谁会这样做呢?