Como negar logon local, mas permitir a elevação do UAC no Windows 7?

Navegue suas respostas
0

Eu quero enviar laptops no campo, mas não quero que eles saibam a senha do administrador. Então, farei uma conta local com privilégios de administrador, mas permitirei que eles a usem somente com permissão do meu departamento. No entanto, eu não quero que ele seja usado para fins de login, mas eu ainda quero que ele seja usado para elevação do UAC quando a permissão de mim é concedida. Sua conta de usuário padrão faz parte de um domínio.

Eu fui para Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment no gpedit para negar logon local, mas também nega a elevação do UAC. Isso é possível?

    
por Jon Weinraub 22.05.2014 / 20:22

4 respostas

3

Você está logando tecnicamente como o outro usuário para executar a função admin, é por isso que não funciona.

Realmente, mesmo se você conseguiu retirar o que você está sugerindo, ainda não iria pará-los, porque se eles têm uma senha de administrador, eles podem apenas desfazer o que você faz para pará-los (ou seja: usando runas para abrir os utilitários para criar outro usuário administrador e, em seguida, efetuar login com essa conta).

Talvez, em vez disso, gaste seu tempo e energia na implementação do acesso remoto às máquinas para que você possa fazer login e fazer as tarefas administrativas conforme necessário, em vez de abrir mão das credenciais de administrador.

    
por 22.05.2014 / 20:31
0

Essa é uma situação muito difícil. O que você PODERIA fazer é configurar uma VPN de escritório na qual os usuários remotos se conectem e sempre que precisarem instalar ou atualizar você pode fazer login usando sua própria conta (parte de um grupo de segurança do AD) que foi adicionada ao grupo de administradores locais . Sim, isso significa um pouco mais de trabalho para você, mas você não precisa dar senhas de administrador ou ter contas locais ...

    
por 22.05.2014 / 20:31
0

Eu estava procurando por algo parecido com isso para o nosso software UPS. No final do dia, quando o programa é fechado, ele precisa fazer atualizações, o que precisa de uma conta do UAC.

Vou tentar algo parecido com a resposta do @brianeme. Vou tentar colocar "shutdown -l" em HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run e ver se isso irá impedi-los de efetuar login.

Eu sei que você pode realizar mudanças ou controle para contornar isso, mas vale a pena tentar.

Obrigado pela ideia!

Isso parece funcionar decentemente. Ele faz o login por alguns segundos, mas não dá muito tempo para você fazer muito.

    
por 07.08.2018 / 21:18
-1

Uma pessoa neste site link mencionou que a substituição do shell com logoff.exe pode fazer o truque para o usuário local. Este site explica como substituir o shell de um usuário por meio do GPO. Mas como você está usando um usuário administrador local, não tem certeza se isso será algo que você pode implementar.

link

    
por 22.05.2014 / 20:33

Tags

Repetição em lote do batchfile com contador Como corrigir o carregador de inicialização do Windows 7