Назад | Перейти на главную страницу

Следует ли включить профиль локального администратора Windows 7, если компьютер является частью домена Windows 2003?

Следует ли включить профиль локального администратора Windows 7, если компьютер является частью домена Windows 2003?

Пользователи не администраторы на собственных рабочих станциях. Мне интересно, нужна ли мне учетная запись локального администратора на компьютере, если я уже один раз вошел на компьютер как администратор домена.

Лично я включаю учетную запись локального администратора через сценарий запуска. (Этот сценарий также устанавливает пароль - в зависимости от сайта клиента это может быть уникальный пароль для каждой машины или «общий» пароль для всех машин.)

Это дает мне учетную запись для устранения неполадок, если доверительные отношения домена машины нарушены. Они мне нужны очень редко, но их приятно иметь, когда они мне действительно нужны.

Я поигрался с созданием учетной записи, эквивалентной администратору, со случайно выбранным именем и случайным паролем для каждой машины и оставив учетную запись администратора запаса отключенной, но не решил это сделать. Пароль также не следует устанавливать с помощью сценария запуска, потому что пользователям было бы тривиально легко прочитать сценарий (даже если вы ограничите доступ к «Компьютерам домена» - пользователю легко получить права «Компьютеры домена» в большинстве развертываний AD). Вероятно, это будет моя следующая итерация ...

Нет, не должно. Microsoft рекомендует отключить или переименовать учетная запись администратора по умолчанию как лучшая практика.

Тем не менее, ты действительно хочешь а местный администратор, в противном случае вы столкнетесь с большими неприятностями, если компьютер потеряет доверие к домену (или подключение к домену), и вам потребуется войти в систему с правами администратора, чтобы исправить проблему.

Вы можете как отключить учетную запись администратора по умолчанию, так и настроить новую с помощью групповой политики. я возьму переименовать его в вымышленный персонаж подходить.

  • Путь для этого (через редактор управления групповой политикой): Конфигурация компьютера -> Политики -> Настройки Windows -> Настройки безопасности -> Местная политика -> Параметры безопасности, и вы увидите множество подходящих опций, в частности, Accounts: Administrator account status и Rename administrator account.

Вы захотите оставить его там и включить на тот случай, если машина по какой-то причине потеряет возможность разговаривать с доменом (это случается). Без него у вас не будет возможности удалить машину из домена и снова присоединить ее к домену. Просто убедитесь, что у него надежный пароль, который конечные пользователи не знают.

Тебе решать.

Причины оставить:

  • Если членство в домене не удается, вам нужно, чтобы локальный администратор повторно присоединил его к домену.

Причины не хранить:

  • Если членство в домене не удается, вы можете загрузиться с компакт-диска восстановления, чтобы получить доступ к файлам на компьютере, а затем заново создать образ.