Adam <a.g@poczta.onet.pl> napisał(a):
Do zarządzania użytkownikami jest lusrmgr.msc
Można to wrzucić do profilu użytkownika, aby startowało samoczynnie.
Ale jest jedno ale: jeśli użytkownik będzie mógł zarządzać kontami innych
użytkowników, to z definicji będzie mógł także i swoim.
Możesz go puścić do pełnego shella, natomiast poblokować dostępy w różnych
narzędziach typu gpedit.msc czy secpol.msc
Może Grzegorz lub ktoś inny podpowie coś lepszego.
Właśnie trudno coś więcej wymyślić. Chcemy mieć admina, który jednocześnie
nie jest adminem. Dawanie komuś praw admina i jednoczenie blokowanie
sposobów wykorzystania tych praw jest karkołomne. To, że nie będzie miał
RDP, niewiele zmienia. Są inne sposoby dostępu, np. RPC. I one muszą być, bo
bez nich domena nie będzie działać.
Można ewentualnie poszukać narzędzia, które pozwala uruchamiać wybrany
program jako administrator i korzysta z zapisanych gdzieś w bezpiecznym
miejscu poświadczeń. Wtedy taki użytkownik mógłby uruchamiać np. tylko
przystawkę MSC do zarządania użytkownikami lub napisany w tym celu skrypt
PowerShell a nie znałby hasła administratora. Ale będzie mógł sobie dodać
nowego admina, więc to bez sensu :)
--
Grzegorz Niemirowski
https://www.grzegorz.net/
|