Administrador local como opção padrão quando no domínio

5

Alguns de nossos usuários fazem algum gerenciamento básico de seus computadores Windows. Suas contas são usuários regulares, e eles têm um administrador local para executar o que quiser: instalar algum tipo de malware, destruir as configurações da impressora, permitir que os vírus sigam terra firme, etc (ouvi alguns deles agirem com responsabilidade, mas acho que é um local lenda urbana)

Caso 1

  • um computador Windows em um grupo de trabalho
  • apenas um administrador local, chamado "local_admin"

Quando um usuário comum precisa inserir uma credencial de administrador, o pop-up é preenchido com "local_admin" e o usuário precisa digitar a senha.

➞ perfeito

Caso 2

  • um computador Windows em um grupo de trabalho
  • um administrador local chamado "local_admin 1"
  • um administrador local chamado "local_admin 2"

Quando um usuário comum precisa inserir uma credencial de administrador, o pop-up fica vazio e o usuário precisa inserir o "local_admin x" e a senha.

➞ como podemos preencher com "local_admin 1"?

Caso 3 (aquele que temos)

  • um computador com Windows em um domínio chamado "company_domain"
  • o nome do computador é "local_name"
  • apenas um administrador local, chamado "local_admin" (mas acho que é exatamente a mesma coisa, se forem vários)

Quando um usuário comum precisa inserir uma credencial de administrador, o pop-up fica vazio, MAS o domínio é preenchido com "company_domain". Assim, o usuário tem que digitar o usuário "local_name \ local_admin" e a senha, o que não é conveniente, porque eles têm que lembrar / anotá-lo a maior parte do tempo junto com a senha em um Post-it.

➞ como preencher previamente o nome do computador local no lugar do nome de domínio, ou preencher previamente o nome completo do admin local "local_name \ local_admin"?

Atualmente, criamos um nome_administrativo do Active Directory para cada um desses usuários e, em seguida, configuramos o computador deles para colocar esse nome_administrativo no grupo de administração local (poderíamos alternativamente fazê-lo no Active Directory). Este método é propenso a erros e, em seguida, leva a vazamentos de privilégios de administradores problemáticos.

    
por Gregory MOUSSAT 05.11.2015 / 00:26

3 respostas

3

Acho que isso vai responder Caso 3 para você.

Execute o editor de política de grupo local como administrador no computador do usuário. Na Diretiva de Grupo, vá para Diretiva do Computador Local \ Configuração do Computador \ Modelos de Administrador \ Componentes do Windows \ Credencial Interface do usuário.

Clique com o botão direito do mouse em "Enumerar contas de administrador na elevação" e clique em "Editar". A janela de configuração é aberta. Escolha "Ativado" para esta configuração. "Se você habilitar essa configuração de política, todas as contas de administrador local no PC serão exibidas para que o usuário possa escolher uma e inserir a senha correta." Escolha "Ativado", clique em "OK" e saia do editor de diretiva de grupo local.

O que é legal é que o aviso lembrará a última conta de administrador local autenticada. Assim, o usuário só precisará colocar sua senha de administrador local no próximo prompt do UAC. Os administradores locais estão listados em ordem alfabética (testados no Windows 8.1 pro).

    
por 05.11.2015 / 16:07
1

Este é o cenário exato em que a Microsoft projetou o Controle de Conta de Usuário. Apenas faça da conta pessoal um administrador local. Eles recebem um prompt do UAC e clicam em Sim. Nenhuma digitação é necessária. link

    
por 05.11.2015 / 15:43
1

Para o caso 3, se o nome da sua conta "local_admin" for Administrator , as versões da Janela recente serão inteligentes o suficiente para supor que você realmente deseja fazer login no computador local em vez do domínio e mudará isso para você. Irritante para aqueles casos raros em que você realmente precisa ser o administrador do domínio, mas quem mais faz isso?

    
por 05.11.2015 / 16:28