Scurtă schiță a situației:
Am moștenit un mediu pentru clienți în care toate dispozitivele sunt conectate la Azure AD și gestionate prin Intune. Contul Azure AD cu care utilizatorul se conectează este administrator local.
Trebuie să configurez ca toți utilizatorii să fie forțați să folosească un cont de administrator secundar dedicat pentru toate activitățile ridicate, iar contul lor de zi cu zi să nu mai fie administrator local (adică: trebuie să introducă o parolă diferită atunci când obțin un UAC). prompt, în loc să faceți clic pe Da). Acești utilizatori sunt dezvoltatori și au nevoie de capacitatea de a rula lucrurile ca administrator, așa că ar trebui să cunoască parola de administrator.
Un sfat despre cum să procedezi în acest sens?
FYI: raționamentul din spatele acestui lucru este conformitatea cu controalele CIS, în acest caz 4.3.
Lucruri pe care le-am luat în considerare
Știu că pot împinge un administrator local suplimentar pe toate computerele prin Intune și apoi pot elimina alte conturi din grupul Administratori. Cu toate acestea, asta înseamnă că aș seta parola de administrator pentru toate computerele la același lucru, ceea ce este o problemă de securitate.
Dacă aș proceda astfel, există vreo modalitate de a-i forța să schimbe parola contului de administrator?
Am citit despre soluțiile DIY LAPS prin Intune, care ar seta parolele aleatoriu. Cu toate acestea, utilizatorii trebuie să cunoască acea parolă și să o poată aminti.
