對於 AD 爲普通用戶提供本地管理員特權已經是下下策, 而直接提供域管理員權限那真的不知道怎麼說了.
如果客戶端一定有需要管理員權限才能運行的軟件, 那麼一個比較好的方法是用虛擬機, 或者可以嘗試一些應用程序虛擬化的方案.
要爲客戶端設置一些軟件或系統設置, 儘量走組策略, 或者啓動/關機腳本, 啓動/關機腳本裏面最好最好不要提供密碼, 哪怕是需要使用該密碼的帳戶沒有特權, 應該儘可能利用運行系統啓動腳本的 SYSTEM 帳戶是模仿 "Authenticated Users" 組這一特點, 進行免密碼操作.
不能提供密碼的理由是, SYSVOL/netlogon 共享默認是可以被 "Authenticated Users" 組讀執行訪問, 所以不要提供, 同時因爲這點, 寫腳本時要考慮, 腳本是否存在暴露其他敏感信息的可能.
遠程任務計劃裏面也不要提供密碼, 那個也不安全. 雖然被加密, 但是容易破解.
一定要用, 則用微軟提供替代方案 PowerShell+WinRM(授權驗證,傳輸加密).
Folding@Home
