Там были вопросы как это где люди просят сделать невозможное, чтобы пользователь, не являющийся администратором, мог создать учетную запись администратора.
Но мой вопрос немного другой: Может ли пользователь без прав администратора создать другого пользователя без прав администратора?
В моей идеальной установке я хотел бы иметь одну учетную запись администратора, одну учетную запись «Администратор» без прав администратора, которая может создавать другие учетные записи без прав администратора, а затем другие учетные записи без прав администратора, у которых нет разрешения на создание новых учетных записей. (Я выполнил поиск в Google, но не могу найти правильную комбинацию слов для поиска, потому что единственные результаты, которые я получаю, - это люди, которые пытаются стать администратором или создать учетные записи администратора.)
Это возможно? Спасибо.
Изменить 1: На компьютере есть пользователь домена, но я не думал, что это повлияет на способность локального пользователя создать другого локального пользователя. Ответ phi по-прежнему полезен, поскольку для полного решения потребуется как решение для учетной записи «Менеджер», являющейся учетной записью AD, так и решение для менеджера, являющегося локальной учетной записью. Я постараюсь выяснить, где эти опции AD, и, надеюсь, смогу сказать, поможет ли это.
Ответы:
С настройкой Active Directory вы можете просто дать людям разрешения на создание учетных записей. Они обычно могут войти в систему, но не имеют дополнительных разрешений, если у диспетчера нет прав на редактирование группы администраторов, содержащихся в ней групп и групповых политик.
Без AD вам может понадобиться какая-то служба Windows, которая делает это для менеджера (из-за отсутствия функциональности setuid / sudo в Windows).
источник