我们的一些用户对他们的 Windows 计算机进行一些基本的管理。
他们的帐户是普通用户,他们有一个本地管理员来执行他们喜欢的任何事情:安装一些垃圾软件,破坏打印机设置,让病毒扎根,等等(我听说他们中的一些人行事负责任,但我认为这是一个本地都市传奇)。
情况1
- 工作组中的 Windows 计算机
- 只有一名本地管理员,名为“local_admin”
当普通用户需要输入管理员凭据时,弹出窗口会填充“local_admin”,用户只需输入密码。
➞ 完美
案例2
- 工作组中的 Windows 计算机
- 一位名为“local_admin 1”的本地管理员
- 一位名为“local_admin 2”的本地管理员
当普通用户需要输入管理员凭据时,弹出窗口为空,用户必须输入“local_admin x”和密码。
➞ 我们如何预先填写“local_admin 1”?
案例3(我们拥有的那个)
- 名为“company_domain”的域中的 Windows 计算机
- 计算机的名称是“local_name”
- 只有一个本地管理员,名为“local_admin”(但我认为如果他们有几个,这完全一样)
当普通用户需要输入管理员凭据时,弹出窗口为空,但域已预先填充“company_domain”。所以用户必须输入用户“local_name\local_admin”和密码,这很不方便,因为他们大部分时间都必须记住/记下密码以及便利贴上的密码。
➞ 如何预填本地计算机名代替域名,或预填完整的本地管理员名称“local_name\local_admin”?
我们目前为每个用户创建一个 Active Directory admin_name,然后配置他们的计算机以将此 admin_name 放入本地管理员组(我们也可以从 Active Directory 中进行)。
这种方法容易出错,然后导致有问题的管理员权限泄漏。
我认为这将为您回答案例 3。
在用户计算机上以管理员身份运行本地组策略编辑器。在组策略中,转到本地计算机策略\计算机配置\管理模板\Windows 组件\凭据用户界面。
右键单击“枚举提升管理员帐户”,单击“编辑”。配置窗口打开。为此设置选择“启用”。“如果启用此策略设置,将显示 PC 上的所有本地管理员帐户,以便用户选择一个并输入正确的密码。” 选择“启用”,单击“确定”然后退出本地组策略编辑器。
好消息是提示会记住最后一个经过身份验证的本地管理员帐户。所以用户只需要在下一个 UAC 提示符时输入他们的本地管理员密码。本地管理员按字母顺序列出(在 Windows 8.1 pro 上测试)。这正是 Microsoft 为其设计的用户帐户控制的确切场景。只需将他们的个人帐户设为本地管理员即可。他们收到 UAC 提示并单击是。无需打字。http://windows.microsoft.com/en-us/windows/what-is-user-account-control#1TC=windows-7
对于第 3 种情况,如果您的“local_admin”帐户的名称是
Administrator,则最近的 Window 版本足够聪明,可以假定您确实是要登录本地计算机而不是域,并且会为您更改此设置。当你真的需要成为域管理员时,那些罕见的情况很烦人,但现在谁来做呢?