O perfil de administrador local do Windows 7 deve estar ativado se o computador fizer parte de um domínio do Windows 2003?

Navegue suas respostas
3

O perfil de administrador local do Windows 7 deve estar ativado se o computador fizer parte de um domínio do Windows 2003?

Os usuários não são administradores em suas próprias estações de trabalho. Gostaria de saber se preciso de uma conta de administrador local no computador se já fiz logon uma vez no computador como administrador do domínio.

    
por kleefaj 20.11.2012 / 19:44

4 respostas

3

Não, não deveria. É recomendado pela Microsoft desativar ou renomear a conta de administrador padrão como prática recomendada.

Dito isto, você quer um administrador local , caso contrário você terá um grande incômodo se a máquina perder sua confiança de domínio (ou conexão de domínio) e você precisa fazer login com privilégios administrativos para corrigir o problema.

Você pode desativar a conta de administrador padrão e configurar uma nova com a política de grupo. Eu uso a abordagem renomear-para-um-personagem-ficcional .

  • O caminho para isso (através do Editor de Gerenciamento de Diretiva de Grupo) é: Configuração do Computador - > Políticas - > Configurações do Windows - > Configurações de segurança - > Políticas locais - > Opções de segurança , e você verá várias opções relevantes, em particular, Accounts: Administrator account status e Rename administrator account .
por 20.11.2012 / 19:49
3

Pessoalmente, habilito a conta de administrador local por meio de um script de inicialização. (Esse script também define a senha - dependendo do site do Cliente, pode ser uma senha exclusiva por máquina ou uma senha "geral" para todas as máquinas.)

Isso me dá uma conta para solucionar problemas se a relação de confiança do domínio da máquina for interrompida. Eu preciso deles muito raramente, mas eles são bons quando eu preciso deles.

Brinquei com a criação de uma conta equivalente ao Administrador com um nome escolhido aleatoriamente e uma senha por máquina aleatória, deixando a conta do Administrador de ações desativada, mas não decidi fazer isso. A senha também não deve ser definida usando um script de inicialização porque seria trivialmente fácil para os usuários lerem o script (mesmo se você restringir o acesso a "Computadores do Domínio" - é trivialmente fácil para um usuário obter direitos de "Computadores do Domínio") na maioria dos deploymnets do AD). Essa provavelmente será minha próxima iteração ...

    
por 20.11.2012 / 19:48
2

Você vai querer deixá-lo lá e habilitado caso a máquina perca a capacidade de falar com o domínio por algum motivo (acontece). Sem isso, você não terá como remover a máquina do domínio e associá-la ao domínio. Apenas certifique-se de que ele tenha uma senha strong que os usuários finais não saibam o que é.

    
por 20.11.2012 / 19:48
1

Cabe a você.

Razões para manter:

  • Se a associação ao domínio falhar, você precisará de um administrador local para reingressá-lo no domínio.

Razões para não guardar:

  • Se a associação ao domínio falhar, você poderá inicializar um CD de recuperação para acessar os arquivos no computador e, em seguida, recriar a imagem dele.
por 20.11.2012 / 19:49

Tags

Como alterar a afinidade do SMP de um IRQ no Ubuntu PV domU dentro do Xen XCP? Apache rodando como root ao invés do usuário especificado no httpd.conf