在我的远程窗口服务器上,我想创建一个额外的管理员帐户,但是这个第二个管理员不应该有修改防火墙设置的权限,这可能吗?
然而除了这项权利之外,他应该拥有远程窗口服务器的完全访问权限,并且他也不能更改密码。
有办法实现这个吗?
答案1
不。如果用户是管理员组的成员,那么该用户可以做任何他们想做的事情。您为阻止访问防火墙设置或阻止更改密码而进行的任何更改都可以由该用户撤消。
答案2
假设您确实需要该帐户成为管理员组的成员,那么实施此类职责委派的正确方法是将机器置于单独的防火墙系统后面,并使用不同的凭据集来管理该设备。
另一个解决方案是使用常规用户帐户并授予其执行任何需要执行的操作所需的权限。
不幸的是,这两种方法并不总是可以实现的。在这种情况下,我建议你描述一下你想要解决的实际问题(而不是你使用已经选择的解决方案时遇到的问题),看看是否有人可以提供一些建议。