ローカルログオンを拒否し、Windows 7でUAC昇格を許可するにはどうすればよいですか。

0

私は現場でノートパソコンを送りたいのですが、管理者パスワードを知らないようにしたいのです。だから、私は管理者特権を持つローカルアカウントを作成しますが、私は彼らが私の部門からの許可を得てのみ使用することを許可します。ただし、ログインには使用したくありませんが、私からの許可が与えられている場合はUAC昇格に使用したいと思います。彼らの標準ユーザーアカウントはドメインの一部です。

私は行きました Computer Configuration\Windows Settings\Security Settings\Local Policies\User Rights Assignment ローカルログオンを拒否するためにgpeditで、それはまたUACの昇格を拒否します。これでも可能ですか?

windows-7  uac  group-policy 
Jon Weinraub
ソース
3
全員が管理者権限を持っている場合は、管理者アカウントのパスワードを変更するだけです。 管理者権限が必要なのはなぜですか?
Ramhound
1
私はそれを知っています、そして私は私の部署にそれについて言及しました、しかしブートディスクからとにかくそれらがそれらのNTパスワード除去剤を使用するのを阻止するものは何もありません。いずれにせよ、彼らがマシンに物理的にアクセスできる限り、彼らは管理者パスワードを削除するか、または自分自身に管理者アクセス権を与えることができます。会社の方針に反する実際の管理者パスワードを技術的に与えずに、ユーザーが私の許可を得てUACのことを行えるようにするための回避策でした。
Jon Weinraub
これは、F12のDell起動メニューへのアクセスをブロックしますか?
Jon Weinraub
いい視点ね。彼らが考えているにもかかわらずそれがとにかくクラッシュするならば彼らはWindowsを再インストールしないであろうから...
Jon Weinraub
あなたが技術的になりたいのであれば、聞いてください。壮大なナンセンスであることについて何もない。あなたの侮辱的なコメントは何よりも叙事詩です。あなたはそれがCDからブートするのにBIOSアクセスを必要とする方法を述べたものであるので、あなたがこれを上下に投票するなら、私は本当にあまり気にすることができませんでした。
Jon Weinraub

回答:

3

あなたは技術的に他のユーザーとしてadmin機能を実行するためにログインしています、それはそれがうまくいかない理由です。

本当に、たとえあなたがそれを提案しているものをやめてしまったとしても、それを止めることはできないでしょう。 runas ユーティリティを開いて別の管理ユーザーを作成し、そのアカウントでログインします。

おそらく代わりに、管理者資格情報をあきらめるのではなく、必要に応じてログインして管理作業を行えるように、マシンへのリモートアクセスの実装に時間と労力を費やすことです。

Ƭᴇcʜιᴇ007
ソース
私たちにはそのようなことができるTeamViewerがありますが、リモートユーザーは現場にいて地球上のどこにでもいることができるので、何かをするために新しいプラグインをインストールする必要があり、リモートでログインするのを待ちます。私はセキュリティ上の懸念を理解していますが、それが可能なのであれば興味深かったし、UACがユーザーを実行していると考えていたのでそれがうまくいかなかった理由です。本当の回避策として、私はパスワードを設定することができます、そして彼らがそれを使用した後、私は彼らが再びそれを使用することができないように私は遠隔でそれを変えることができます。
Jon Weinraub
あなたが管理者パスワードを持っていると彼らが信頼しているなら、あなたはそれでログインしないように彼らを信頼しなければなりません。グループポリシーのような技術的な手段でこれを処理しようとするのではなく、会社の人のポリシーを調べ始める必要があります。とにかく、あなたはあなたがやろうとしていることが可能かどうか尋ねました(アカウントのためのログインを拒否します、それでも管理者チェックを迂回するためにそれを使います)。あなたが提案した解決策についての質問ではなく、実際の問題についての質問でそれに取り組むなら、おそらくあなたはもっと良い運を持っているかもしれません。
Ƭᴇcʜιᴇ007
まあ現在の問題はありません、彼らが仕事のために必要な新しいソフトウェアを手に入れたのであれば、それがインストールされている必要があるでしょう。明らかに、社内でのインストールのように、彼らは私がインストールする時間をスケジュールするためにITチケットを送ります。現場では難しくなりますが、不可能であり、かつてはすべてのリモートで管理者になっていましたが、企業では許可されていないシナリオがありました。です。私が実際に問題を抱えていたのであれば、それは投稿されたものと同じです。助けてくれてありがとう
Jon Weinraub
0

それはとても難しい状況です。あなたがしなければならないのは、リモートユーザーが接続するオフィスVPNをセットアップすることです。インストールやアップデートが必要な場合は、ローカル管理者グループに追加された自分のアカウント(ADセキュリティグループの一部)を使ってログインできます。はい、これはもう少し手間がかかることを意味しますが、その場合は管理者パスワードを入力したりローカルアカウントを持ったりする必要はありません。

Kinnectus
ソース
0

私たちのUPSソフトウェアのためにこれに似たものを探していました。プログラムが終了する日の終わりには、UACアカウントを必要とする更新をする必要があります。

@ brianemeの答えに似たものを試してみます。私はHKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Runに "shutdown -l"を入れてみて、これが彼らがログインするのを妨げるかどうか確かめます。

私はあなたがこれを回避するためにシフトやコントロールを握ることができることを知っています、しかしそれは一撃の価値があります。

アイデアをありがとう!

これはまともに動作するようです。それは数秒間ログオンします、しかしそれは実際にあなたに多くをする時間を与えません。

sflesch
ソース
-1

このサイトの一人 http://www.vistax64.com/vista-security/108026-local-administravtive-users-uac.html シェルをlogoff.exeで置き換えることはローカルユーザにとってのトリックをするかもしれないと述べました。このサイトでは、GPOを介してユーザーのシェルを置き換える方法について説明しています。しかし、あなたはローカルの管理者ユーザを使っているので、これがあなたが実行できるものになるかどうかはよくわかりません。

http://msdn.microsoft.com/en-us/library/aa479087.aspx

brianeme
ソース
1
私達はスーパーユーザーでここにリンクしか答えないと期待しています。
Ramhound
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.