Как запретить локальный вход в систему, но разрешить его для повышения уровня контроля учетных записей в Windows 7?

Я хочу отправить ноутбуки в поле, но я не хочу, чтобы они знали пароль администратора. Итак, я сделаю локальную учетную запись с правами администратора, но позволю им использовать ее только с разрешения моего отдела. Однако, я не хочу, чтобы это быть использован для входа в систему целей, но я все равно хочу его использовать для повышения прав UAC, когда разрешение от меня как должное. Их учетная запись обычного пользователя является частью домена.

пошел к Computer ConfigurationWindows SettingsSecurity SettingsLocal PoliciesUser Rights Assignment в gpedit для того, чтобы запретить локальный вход в систему, но он также запрещает повышение уровня контроля учетных записей. Разве такое вообще возможно?

22
задан Jon Weinraub
21.04.2023 3:46 Количество просмотров материала 2633
Распечатать страницу

4 ответа

вы технически войти в систему как другой пользователь, выполняющий функции администратора, поэтому он не работает.

правда, даже если вам удалось снять то, что вы предлагаете, это все равно не остановить, потому что если у них есть пароль администратора, они могут просто отменить все, что вы делаете, чтобы остановить их (т. е. через runas, чтобы открыть утилиты, чтобы сделать другого пользователя администратора, а затем войти в систему с этой учетной записью).

возможно, вместо этого, тратить свое время и энергия на реализацию удаленного доступа к машинам, так что вы можете войти в систему и делать вещи администратора по мере необходимости, вместо того, чтобы отказываться от учетных данных администратора.

3
отвечен Ƭᴇcʜιᴇ007 2023-04-22 11:34

Это очень сложная ситуация. Что можно сделать, так это настроить Office VPN, к которому подключаются удаленные пользователи, и всякий раз, когда им требуется что-либо установить или обновить, вы можете войти в систему, используя свою собственную учетную запись (часть группы безопасности AD), добавленную в локальную группу администраторов. Да, это означает немного больше работы для вас, но вам не нужно давать никаких паролей администратора или иметь локальные учетные записи...

0
отвечен Kinnectus 2023-04-22 13:51

Я искал что-то подобное этому для нашего программного обеспечения ИБП. В конце дня, когда программа закрывается, она должна делать обновления, для которых требуется учетная запись UAC.

Я собираюсь попробовать что-то похожее на ответ @brianeme. Я собираюсь попробовать поставить "shutdown-l" в HKCU\Software\Microsoft\Windows\CurrentVersion\Run и посмотреть, не помешает ли это им войти в систему.

Я знаю, что вы можете удерживать shift или control, чтобы обойти это, но это стоит выстрел.

Спасибо за идею!

Это, кажется, работает достойно. Он входит в систему в течение нескольких секунд, но на самом деле это не дает вам времени, чтобы сделать много.

0
отвечен sflesch 2023-04-22 16:08

один человек на этом сайтеhttp://www.vistax64.com/vista-security/108026-local-administravtive-users-uac.html отметил, что замена оболочки с выходом из системы.exe может сделать трюк для локального пользователя. Этот сайт объясняет, как заменить оболочку для пользователя через GPO. Но так как вы используете локального администратора, не уверен, что это будет то, что вы можете реализовать.

http://msdn.microsoft.com/en-us/library/aa479087.aspx

-1
отвечен brianeme 2023-04-22 18:25

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх