Как отказать в локальном входе, но разрешить повышение прав UAC в Windows 7?

Question

Я хочу отправить ноутбуки в поле, но я не хочу, чтобы они знали пароль администратора. Итак, я создам локальную учетную запись с правами администратора, но я позволю им использовать ее только с разрешения моего отдела. Однако я не хочу, чтобы он использовался для входа в систему, но я все же хочу, чтобы он использовался для повышения UAC, когда мне предоставлено разрешение. Их стандартная учетная запись является частью домена.

Я пошел в Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment в gpedit, чтобы запретить локальный вход в систему, но он также отрицает повышение уровня контроля учетных записей. Это вообще возможно?

Answer 1

Технически вы входите в систему как другой пользователь для выполнения функции администратора, поэтому она не работает.

Хотя на самом деле, даже если вам удастся осуществить то, что вы предлагаете, это все равно не остановит их, потому что, если у них есть пароль администратора, они могут просто отменить все, что вы делаете, чтобы остановить их (то есть: использовать runas для открытия утилиты, чтобы сделать другого администратора, а затем войти в систему с этой учетной записью).

Возможно, вместо этого, потратьте свое время и энергию на реализацию удаленного доступа к машинам, чтобы вы могли войти в систему и выполнять действия администратора по мере необходимости, а не отказываться от учетных данных администратора.

Answer 2

Это очень сложная ситуация. Что вы МОЖЕТЕ сделать, так это настроить офисную VPN-сеть, к которой подключаются удаленные пользователи, и когда им требуется что-либо устанавливать или обновлять, вы можете войти в систему, используя собственную учетную запись (часть группы безопасности AD), которая была добавлена в группу локальных администраторов. , Да, это означает, что для вас немного больше работы, но вам не нужно вводить пароли администратора или иметь локальные учетные записи ...

Answer 3

Я искал что-то подобное для нашего программного обеспечения UPS. В конце дня, когда программа закрывается, ей необходимо выполнить обновления, для которых требуется учетная запись UAC.

Я собираюсь попробовать что-то похожее на ответ @ brianeme. Я собираюсь попробовать поместить «shutdown -l» в HKCU\Software\Microsoft\Windows\CurrentVersion\Run и посмотреть, не помешает ли это войти в систему.

Я знаю, что вы можете удерживать смену или контроль, чтобы обойти это, но это стоит попробовать.

Спасибо за идею!

Кажется, это работает прилично. Он входит в систему на несколько секунд, но на самом деле он не дает вам времени на многое.

Answer 4

Один человек на этом сайте http://www.vistax64.com/vista-security/108026-local-administravtive-users-uac.html отметил, что замена оболочки на logoff.exe может помочь локальному пользователю. На этом сайте объясняется, как заменить оболочку для пользователя через GPO. Но так как вы используете локального администратора, не уверены, сможете ли вы это реализовать.

http://msdn.microsoft.com/en-us/library/aa479087.aspx