Saya ingin mengirim laptop keluar, tetapi saya tidak ingin mereka mengetahui kata sandi admin. Jadi, saya akan membuat akun lokal dengan admin privelage, tetapi saya akan mengizinkan mereka untuk menggunakannya hanya dengan izin dari departemen saya. Namun, saya tidak ingin itu digunakan untuk tujuan log in, tapi saya masih ingin itu digunakan untuk elevasi UAC ketika izin dari saya diberikan. Akun pengguna standar mereka adalah bagian dari domain.
Saya pergi ke Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment
dalam gpedit untuk menolak masuk lokal, tetapi juga menyangkal ketinggian UAC. Apakah ini mungkin?
windows-7
uac
group-policy
Jon Weinraub
sumber
sumber
Jawaban:
Anda secara teknis masuk sebagai pengguna lain untuk melakukan fungsi admin, itu sebabnya tidak berfungsi.
Sungguh, bahkan jika Anda berhasil melakukan apa yang Anda sarankan itu masih tidak akan menghentikan mereka, karena jika mereka memiliki kata sandi admin, mereka hanya dapat membatalkan apa pun yang Anda lakukan untuk menghentikannya (yaitu: menggunakan
runas
untuk membuka utilitas untuk membuat pengguna admin lain, dan kemudian masuk dengan akun itu).Mungkin sebagai gantinya, habiskan waktu dan energi Anda untuk mengimplementasikan akses jarak jauh ke mesin sehingga Anda dapat masuk dan melakukan hal-hal yang diperlukan admin, alih-alih menyerahkan kredensial admin.
sumber
Itu situasi yang sangat sulit. Apa yang DAPAT Anda lakukan adalah mengatur VPN kantor yang terhubung dengan pengguna jarak jauh dan kapan pun mereka memerlukan instalasi atau pemutakhiran, Anda dapat masuk menggunakan akun Anda sendiri (bagian dari grup keamanan AD) yang telah ditambahkan ke grup administrator lokal . Ya, ini berarti sedikit lebih banyak pekerjaan untuk Anda, tetapi Anda tidak perlu memberikan kata sandi admin atau memiliki akun lokal ...
sumber
Saya mencari sesuatu yang mirip dengan ini untuk perangkat lunak UPS kami. Pada akhir hari ketika program ditutup perlu melakukan pembaruan, yang membutuhkan akun UAC.
Saya akan mencoba sesuatu yang mirip dengan jawaban @ brianeme. Saya akan mencoba meletakkan "shutdown -l" di HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Jalankan dan lihat apakah ini akan mencegah mereka masuk.
Saya tahu Anda dapat menahan shift atau mengontrol untuk mem-bypass ini, tetapi patut dicoba.
Terima kasih atas idenya!
Ini sepertinya berhasil. Log on selama beberapa detik, tetapi itu tidak benar-benar memberi Anda waktu untuk melakukan banyak hal.
sumber
Satu orang di situs ini http://www.vistax64.com/vista-security/108026-local-administravtive-users-uac.html menyebutkan bahwa mengganti shell dengan logoff.exe mungkin melakukan trik untuk pengguna lokal. Situs ini menjelaskan cara mengganti shell untuk pengguna melalui GPO. Tetapi karena Anda menggunakan pengguna admin lokal, tidak yakin apakah ini akan menjadi sesuatu yang dapat Anda terapkan.
http://msdn.microsoft.com/en-us/library/aa479087.aspx
sumber