我对那些从不在办公室的远程用户设置笔记本电脑的最佳实践感兴趣。 在Windows 7中使用UAC时,标准用户在他们可以做的事情上受到很大的限制。 如果您不想closuresUAC或将用户设置为pipe理员,您将更改哪些设置以使其具有一些基本访问权限,但仍然安全?
我最近遇到的一些挫折包括:
以上列表可以无限扩展。 一般来说,您更改了哪些设置和权限来准备笔记本电脑/笔记本电脑作为有限的用户,而pipe理员访问难度最大呢?
作为pipe理员,您如何在不在办公室或简单的远程桌面连接的情况下满足用户的需求并使其支持变得轻松?
提供一个具有pipe理员权限的单独帐户,可以将这些帐户用于这些types的活动。 用户无法方便地访问他们的networking资源(文件和电子邮件),所以他们不会倾向于使用它的所有时间。 他们可以使用特权帐户主要用于UAC提示,或者甚至可以使用完整的桌面login有限的边缘情况。
如果该帐户是域帐户,则在连接到networking时需要logging至less一次以使其可用(caching凭证)。
请注意,要实现此目的,需要使用组策略强制执行pipe理员组,或审核以确保他们没有将自己添加到pipe理员组。 有很多种方法。
实际上,我们使用每台计算机上具有相同帐户名称的本地帐户执行此操作,这样可以轻松configurationGPO实施。 但是与本地帐户的密码轮换有关的pipe理问题。 如果pipe理本地帐户密码的用户可以使用,则本地帐户方法可能适用于您,并且您不需要担心本地帐户的caching凭据。
您可能也有兴趣知道,Power Users组没有Windows XP的权限(谢天谢地)。 但是,如果您真的想用自己的脚步来拍摄自己,则可以将安全模板应用于系统文件,文件夹和registry设置和权限,以授予高级用户以前的访问权限级别。
权限和权限已从Windows Vista中的Power Users组中删除
http://support.microsoft.com/kb/2028493
用户权限
http://technet.microsoft.com/en-us/library/dd349804%28v=ws.10%29.aspx