Создать учетную запись без прав администратора из другой учетной записи без прав администратора

0

Там были вопросы как это где люди просят сделать невозможное, чтобы пользователь, не являющийся администратором, мог создать учетную запись администратора.

Но мой вопрос немного другой: Может ли пользователь без прав администратора создать другого пользователя без прав администратора?

В моей идеальной установке я хотел бы иметь одну учетную запись администратора, одну учетную запись «Администратор» без прав администратора, которая может создавать другие учетные записи без прав администратора, а затем другие учетные записи без прав администратора, у которых нет разрешения на создание новых учетных записей. (Я выполнил поиск в Google, но не могу найти правильную комбинацию слов для поиска, потому что единственные результаты, которые я получаю, - это люди, которые пытаются стать администратором или создать учетные записи администратора.)

Это возможно? Спасибо.

Изменить 1: На компьютере есть пользователь домена, но я не думал, что это повлияет на способность локального пользователя создать другого локального пользователя. Ответ phi по-прежнему полезен, поскольку для полного решения потребуется как решение для учетной записи «Менеджер», являющейся учетной записью AD, так и решение для менеджера, являющегося локальной учетной записью. Я постараюсь выяснить, где эти опции AD, и, надеюсь, смогу сказать, поможет ли это.

Talset
источник
Вы уверены, что у пользователя по умолчанию еще нет возможности создавать новых пользователей? Если вы находитесь в домене AD, это действительно задача, которая должна быть зарезервирована только для администраторов. На локальном компьютере создание пользователя без прав администратора не является повышенной задачей.
Ramhound
@Ramhound Может быть, это объяснение поможет уточнить: одна из учетных записей пользователей находится в домене AD и может работать от имени администратора, но это не должно иметь значения, потому что я создал локальную учетную запись компьютера, не являющуюся AD, и не являющуюся администратором. Затем, работая под этой учетной записью, я попытался добавить другую учетную запись через compmgmt.msc (Системные инструменты -> Локальные пользователи и группы -> Пользователи) и с помощью команды net (net user / add the_user the_pass). Оба дают «Доступ запрещен». Я чувствую, что есть какая-то важная информация, о которой я не знаю.
Talset
Компьютер, подключенный к домену AD, является важной информацией.
Ramhound
Несмотря на то, что учетная запись, в которой я в настоящее время вошел в систему, является локальной без прав администратора? Меа, я не понял.
Talset

Ответы:

0

С настройкой Active Directory вы можете просто дать людям разрешения на создание учетных записей. Они обычно могут войти в систему, но не имеют дополнительных разрешений, если у диспетчера нет прав на редактирование группы администраторов, содержащихся в ней групп и групповых политик.

Без AD вам может понадобиться какая-то служба Windows, которая делает это для менеджера (из-за отсутствия функциональности setuid / sudo в Windows).

phi1010
источник