我对为从不在办公室的远程用户设置笔记本电脑时的最佳做法感兴趣.在
Windows 7中使用UAC时,标准用户在他们可以做的事情上受到很大限制.当您不想关闭UAC或让用户成为管理员时,您更改了哪些设置以便为他们提供一些基本访问权限,但仍保持安全?
我最近遇到的一些挫折包括:
>如果没有管理员权限,用户将无法安装其家用打印机
>用户无法在没有管理员权限的情况下删除损坏的蓝牙键盘连接,因此他们可以重新键入键盘
>用户无法从其桌面删除全局快捷方式
>当提示输入管理员密码时,UAC会切断通过VNC连接的访问
以上列表可以无限扩展.一般情况下,您更改了哪些设置和权限,以便将笔记本电脑/笔记本电脑作为有限用户准备在路上,而管理员访问最多是困难的?
提供具有管理员权限的单独帐户,可以将这些权限用于这些类型的活动.用户无法方便地访问其帐户的网络资源(文档和电子邮件),因此他们不会一直倾向于使用它.他们可以主要使用特权帐户用于UAC提示,或者甚至可以使用完整桌面登录以获取有限的边缘情况.
如果该帐户是域帐户,则在连接到网络时需要至少记录一次以使其可用(缓存凭据).
请注意,要使其生效,需要使用组策略强制执行Administrators组,或者要求审核以确保它们尚未将自己添加到Administrators组.有各种方法.
实际上,我们使用每台计算机上具有相同帐户名的本地帐户执行此操作,这样可以轻松配置GPO实施.但是,本地帐户的密码轮换存在管理问题.如果您对管理本地帐户密码的用户没问题,则本地帐户方法可能对您有用,您无需担心本地帐户的缓存凭据.
您可能还有兴趣知道Power Users组没有在Windows XP上执行的权限(幸运的是).但是,如果您真的想要自己拍摄,可以将安全模板应用于系统文件,文件夹和注册表设置以及授予Power Users之前访问级别的权限.
权限和权限已从Windows Vista中的Power Users组中删除
http://support.microsoft.com/kb/2028493
用户权利
http://technet.microsoft.com/en-us/library/dd349804%28v=ws.10%29.aspx