Alguns de nossos usuários fazem algum gerenciamento básico de seus computadores Windows.
Suas contas são de usuários regulares e eles têm um administrador local para executar o que quiserem: instalar algum tipo de lixo eletrônico, destruir configurações de impressora, permitir que vírus se instalem, etc. lenda urbana).
Caso 1
- um computador Windows em um grupo de trabalho
- apenas um administrador local, chamado "local_admin"
Quando um usuário comum precisa inserir uma credencial de administrador, o pop-up é preenchido com "local_admin" e o usuário só precisa inserir a senha.
➞ perfeito
Caso 2
- um computador Windows em um grupo de trabalho
- um administrador local chamado "local_admin 1"
- um administrador local chamado "local_admin 2"
Quando um usuário regular precisa inserir uma credencial de administrador, o pop-up está vazio e o usuário deve inserir o "local_admin x" e a senha.
➞ como podemos pré-preencher com "local_admin 1"?
Caso 3 (o que temos)
- um computador Windows em um domínio chamado "company_domain"
- o nome do computador é "local_name"
- apenas um administrador local, chamado "local_admin" (mas acho que é exatamente a mesma coisa se forem vários)
Quando um usuário regular precisa inserir uma credencial de administrador, o pop-up está vazio, MAS o domínio é pré-preenchido com "company_domain". Portanto, o usuário deve inserir o usuário "local_name\local_admin" e a senha, o que não é conveniente porque eles precisam lembrar/anotar na maioria das vezes junto com a senha em um Post-it.
➞ como preencher previamente o nome do computador local no lugar do nome de domínio ou preencher previamente o nome completo do administrador local "local_name\local_admin"?
No momento, criamos um admin_name do Active Directory para cada um desses usuários e, em seguida, configuramos o computador para colocar esse admin_name no grupo de administração local (podemos, alternativamente, fazer isso no Active Directory).
Este método é propenso a erros e, em seguida, leva a vazamentos problemáticos de privilégios de administrador.
Acho que isso responderá ao Caso 3 para você.
Execute o editor de política de grupo local como administrador no computador do usuário. Na Diretiva de Grupo, vá para Diretiva do Computador Local\Configuração do Computador\Modelos Administrativos\Componentes do Windows\Credential User interface.
Clique com o botão direito do mouse em "Enumerar contas de administrador na elevação", clique em "Editar". A janela de configuração é aberta. Escolha "Ativado" para esta configuração. "Se você habilitar esta configuração de política, todas as contas de administrador local no PC serão exibidas para que o usuário possa escolher uma e inserir a senha correta." Escolha "Ativado", clique em "OK" e saia do editor de Diretiva de Grupo local.
O que é bom é que o prompt lembrará a última conta de administrador local autenticada. Portanto, o usuário só precisará inserir sua senha de administrador local no próximo prompt do UAC.Os administradores locais são listados em ordem alfabética (testado no Windows 8.1 pro).Este é o cenário exato para o qual a Microsoft projetou o Controle de Conta de Usuário. Basta tornar sua conta pessoal um administrador local. Eles recebem um prompt do UAC e clicam em Sim. Não é necessário digitar. http://windows.microsoft.com/en-us/windows/what-is-user-account-control#1TC=windows-7
Para o caso 3, se o nome da sua conta "local_admin" for
Administrator, as versões recentes do Windows são inteligentes o suficiente para assumir que você realmente pretende fazer login no computador local em vez do domínio e mudarão isso para você. Irritante para aqueles raros casos em que você realmente precisa ser o administrador do domínio, mas quem faz isso mais?