最佳实践- Windows 7远程公路勇士笔记本电脑用户权限

Question

我感兴趣的是，在为从未在办公室工作的远程用户设置膝上型计算机时，哪些是最佳做法。在Windows 7中使用UAC，标准用户所能做的事情是非常有限的。当您不想关闭UAC或使用户成为管理员时，您会更改哪些设置来给予他们一些基本的访问权限，但仍然是安全的？

我最近遇到的一些挫折包括：

• 用户无法在没有管理权限的情况下安装主打印机。
• 用户无法在没有管理权限的情况下删除损坏的蓝牙键盘连接，因此他们可以重新匹配键盘。
• 用户无法从桌面上删除全局快捷方式。
• 当提示输入管理密码时，UAC将切断通过VNC连接的访问。

以上列表可以无限期展开。一般来说，您会更改哪些设置和权限来准备笔记本电脑/笔记本电脑，以便作为有限的用户在管理员访问最多是困难的道路上？

作为管理员，当用户不在办公室或简单的远程桌面连接时，您如何满足用户的需求并使支持变得容易呢？

Answer 1

提供一个具有管理员权限的单独帐户，它们可以用于这些类型的活动。用户将无法方便地使用该帐户访问他们的网络资源(文档和电子邮件)，因此他们不会总是倾向于使用它。他们可以主要为UAC提示符使用特权帐户，甚至可以使用完整的桌面登录有限的边缘情况。

如果该帐户是一个域帐户，则在连接到网络时，它至少需要被记录一次才能使用(缓存凭据)。

请注意，要使此操作正常，需要使用组策略强制执行Administrators组，或者进行审计以确保它们没有添加到Administrators组中。有各种各样的方法。

实际上，我们使用的本地帐户在每台计算机上都有相同的帐户名，这使得为GPO的强制执行配置起来很容易。但是，与本地帐户的密码轮换有关的管理问题。如果您对管理本地帐户密码的用户没有意见，本地帐户方法可能会对您有效，并且您不需要担心本地帐户缓存的凭据。

您可能还想知道，Power组没有Windows上的特权(谢天谢地)。但是，如果您真的想自暴自弃，则可以将安全模板应用于系统文件、文件夹、注册表设置和特权，以授予Power用户先前级别的访问权限。

权限和权限已从Windows中的“超级用户”组中删除

http://support.microsoft.com/kb/2028493

用户权限

http://technet.microsoft.com/en-us/library/dd349804%28v=ws.10%29.aspx