Houve perguntas como esta , onde as pessoas pedem para fazer o impossível de deixar um usuário não-administrador fazer uma conta de administrador.
Mas minha pergunta é um pouco diferente: É possível que um usuário não administrador crie outro usuário não administrador?
Na minha configuração ideal, eu gostaria de ter uma conta de administrador, uma conta "Administrador" não administrativa que possa criar outras contas não administrativas e várias outras contas não administrativas que não têm permissão para criar novas contas. . (Eu pesquisei no Google, mas parece que não consigo encontrar a combinação certa de palavras para pesquisar, porque os únicos resultados que obtenho são pessoas tentando se tornarem administradores ou criar contas de administrador.)
Isso é possível? Obrigado.
Editar 1: Existe um usuário de domínio na máquina, mas não achei que isso afetaria a capacidade de um usuário local de criar outro usuário local. A resposta do Phi ainda é útil, porque uma solução completa exigiria uma solução para a conta "Gerente" ser uma conta do AD e uma solução para o gerente ser uma conta local. Tentarei descobrir onde estão essas opções do AD e espero poder dizer se isso ajuda.
Com uma configuração do Active Directory, você pode apenas conceder permissões às pessoas para criar contas. Eles geralmente conseguem efetuar login, mas não têm permissão adicional se o gerente não tiver permissão para editar o grupo Administradores, os grupos contidos e as políticas de grupo.
Sem o AD, você pode precisar de algum tipo de serviço do Windows que faça isso para o gerente (devido à falta de funcionalidade setuid / sudo no Windows).