本機Administrator權限收回後，需要新增使用者的問題

windows windows server windows server 2019 user and groups permission

good3580 2021-01-19 10:40:57 ‧ 2724 瀏覽

分享至

各位好：

小弟目前遇到單位的長官需要把環境內的一台主機(Server 2019，未加入AD)本機系統管理員的權限收回，所以想要新增一組本機使用者帳號用來專門使用在日後該機器若還有新增使用者的需求時可供使用，這組帳號也只有新增使用者時才會拿出來用，但是翻了很多文章及KB後卻找不到能夠符合需求的設定方式（已知若在網域環境內有Account operator群組可以用）但是在單機環境也只有在Administrators群組內的帳號才能做，所以上來請教各位學長是否有其他可以解決的方法

感謝賜教

sam0407 iT邦大師 1 級 ‧ 2021-01-20 10:54:58 檢舉

設成Power Users不行嗎??

good3580 iT邦新手 5 級 ‧ 2021-01-20 13:44:19 檢舉

沒辦法喔 Power User權限沒那麼大

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

㊣浩瀚星空㊣

iT邦大神 1 級 ‧ 2021-01-19 11:17:25

一般來說，直接指定 Administrators 並沒有不好。
如果需要的話。
你可以先新增一個群組。先不要依附任何群組對應

再用 secpol.msc 指令進去編輯要對應的權限功能給這個群組就好。
記得一定得要保留一個最高管理員的帳密。免得出事無法救。

可以開下次登入改密碼。然後請最高權限人員進去改密碼。

回應 5
分享
檢舉

看更多先前的回應...收起先前的回應...

good3580 iT邦新手 5 級 ‧ 2021-01-19 11:29:07 檢舉

學長好，但是在secpol裡面並沒有相對應可以用來新增使用者的權限可供選擇，我也是滿苦惱的

㊣浩瀚星空㊣ iT邦大神 1 級 ‧ 2021-01-19 11:36:00 檢舉

我也沒個別指定過。一般都是直接群組指定就很夠用了。

唯一的想法就是將目前有 Administrators群組的權限，先一樣照著設定給新的群組。
確定可建立後。再來做一個一個排除。
過程會比較麻煩。

good3580 iT邦新手 5 級 ‧ 2021-01-19 11:54:31 檢舉

這部分我也試過，奇妙的地方來了，照著設定還是一樣沒辦法做到新增使用者功能，我有在想是不是綁死了．．．

㊣浩瀚星空㊣ iT邦大神 1 級 ‧ 2021-01-19 12:00:01 檢舉

那就只能從設定檔下手了。
這部份我就不熟了。

good3580 iT邦新手 5 級 ‧ 2021-01-19 13:28:33 檢舉

不管如何，還是謝謝學長的幫忙！！

登入發表回應

zero

iT邦好手 1 級 ‧ 2021-01-19 18:30:16

只剩下從未載入OS的方式

透過SYSTEM權限呼叫regedit來對loacla data(SAM)做新增帳戶

沒必要也太麻煩，乖乖將要使用的帳戶加入administrators吧

新增 local Group 把 local user 帳戶加入新的群組

再把這個新群組加入local Administrators群組內

上面描述的操作是行不通的，在單機的狀態下無法生效

回應
分享
檢舉

登入發表回應

納貝

iT邦新手 1 級 ‧ 2021-01-20 15:44:57

感覺可以從system account下手，他不會出現在user list中，操作系統跟內核在用的，超越administrators的存在....
在file manager的security裡可以看到system account
至於要怎麼讓他變成可用的，可能要上網找找看有沒有人可以做到
類似寫個惡意軟體之類的，讓內核應用程式去執行它，你就可以拿到超過管理員權限的權利(包括開帳戶)
可能有些學長是不建議在這裏教些不正當的手法
不過存粹以解決問題角度出發的話.....未必不失為一個討論的方向