主页 / computer / 问题 / 1838792
Accepted
nikhil
Asked: 2024-04-12 17:38:23 +0800 CST

Windows 10 阻止一名管理员更改其他管理员密码

  • 772

我有 3 个用户帐户。两个管理员用户帐户和一个标准用户帐户。我不希望任何管理员帐户能够更改其他管理员帐户的密码。简而言之,我希望所有 2 个管理员帐户彼此独立,并且其中任何一个都不能更改其他帐户的密码。我可以在组策略中设置任何规则来强制执行此操作吗?

现在,在控制面板中,如果我使用管理员帐户登录并查看用户帐户,它会显示此选项“管理另一个帐户”,通过它我可以更改其他管理员帐户密码。我不应该这样做。请帮忙。

管理另一个账户

windows-10

2 个回答

  1. Best Answer

    在另一个答案中已经说过了,但为了澄清事情,我决定仍然写一个答案。

    是的,添加到本地管理员组的用户可以完全控制该计算机,并且可以在该计算机上执行任何操作,包括更改其他本地用户。

    但是,请注意我如何编写本地用户。

    虽然本地管理员可以对本地计算机执行任何操作,但他们无法更改域帐户,因为这需要访问域控制器。

    如果要防止本地管理员更改其他用户密码,则需要使用域控制器,将计算机添加到域并将用户帐户迁移到域控制器。

    之后,本地管理员仍然可以在那台电脑上执行很多操作,但他们无法再更改其他管理员的密码(如果这些管理员是域用户)。

    也就是说,通过管理员访问权限,您可以创建本地用户并使用该用户登录。

    另外值得注意的是,虽然许多任务似乎需要管理员访问权限,但这并不总是必要的。当任务由于权限不足而失败时,会请求管理员访问权限。例如,在 C:\Program Files 中安装程序需要管理员访问权限,因为默认情况下,普通用户可能无法写入此文件夹。如果您使该文件夹对普通用户可写,那么他们不再需要管理员访问权限来安装只需将程序放在该位置的安装。同样,本地机器注册表配置单元也有类似的限制,也可以类似地打开。

    我建议不要为每个人打开这些​​具有写入权限的位置,但您可以将这些特定用户添加到具有写入权限的位置,并且他们可能首先不需要管理员帐户。

    • 3

  2. 抱歉,但我认为现实情况是,除了剥夺他们的管理权限之外,您无能为力。

    我发现一位经验丰富的微软人员在另一个微软论坛上说过的话:

    “ 不幸的是,如果您授予其他人对您的电脑的管理员权限,他们将能够更改他们想要的任何内容。因此,我只会向他们提供标准访问权限,如果他们想要更改任何内容,请自行将您的密码输入 UAC 提示符中。有时你很想把钥匙交给他们,但请记住,如果你这样做,你就会把钥匙交给他们。”

    请参阅@LPChip 的回答:我错了,但如果您希望所有管理员都能够做所有事情,那么这可能是不可能的。谢谢LP芯片。

    • 1

相关问题