这是我第一次将新的Windows工作站添加到我的域中。 [多年来,我们有一个“独立的”2K服务器,而不是一个DC,我们所有的工作站都是Windows家庭]现在我有一些新的Windows 7 Pro工作站,我想join到域。 当我这样做时,在新的工作站上安装软件时唯一可以解决UAC问题的login名是服务器的“pipe理员”。 从“相关问题”的项目之一,我发现只有“pipe理员”的作品,因为我的其他pipe理员login是服务器,而不是域。
我需要用户有完整的本地控制和安装自己的软件的能力。 我在本地机器上创build“pipe理员”帐户,但当然不会覆盖Active Directory中的权限。 我读了很多有关“受限制的组”和组策略对象编辑器,并创build一个localAdmin组,但我的域的策略对象树看起来不像我见过的例子。 有更容易的方法吗? 我可以使用myDomain \ Computers下每个工作站的用户访问权限吗? 如果没有,我从哪里可以find从头开始构build适当的政策和权限的入门书? 谢谢
您在这里混合了两个问题:本地pipe理员权限和Windows 7的用户帐户控制。
获得本地pipe理员权限可以通过多种方式完成:作为域pipe理员,将用户/组添加到工作站上的本地pipe理员组(手动或通过计算机启动脚本),或使用“受限组”GPO设置。
然而,即使是当地的pipe理者也是不够的:UAC的存在正是为了这个目的, 即使用户正确地拥有它们 ,UAC也不会给予他们充分的本地pipe理权限,从而使用户从本身的错误中获得安全,从而迫使他们明确说明他/她们是否希望以完整的pipe理权限执行操作。
UAC也有能力发现用户需要pipe理权限的情况,但他/她没有这些权限; 在这种情况下,它可以(如果这样configuration)自动提示用户login其他用户帐户的凭据,这些用户帐户可能比他们当前使用的帐户拥有更多权限。
如果用户没有pipe理权限并尝试执行需要它们的任务,则UAC将提示再次login。
如果用户确实拥有适当的权限,但UAC处于活动状态(这是其默认设置),则会要求用户确认; 要绕过这个,你可以右键点击你要运行的程序并select“以pipe理员身份运行”选项。
如果您愿意,可以在系统的控制面板中或通过组策略(如果您有Windows Server 2008 R2域控制器,或者导入了最新的组策略pipe理模板以前的版本域)。