Краткий набросок ситуации:
Я унаследовал клиентскую среду, в которой все устройства присоединены к Azure AD и управляются через Intune. Учетная запись Azure AD, с которой пользователь входит в систему, является локальным администратором.
Мне нужно настроить, чтобы все пользователи были вынуждены использовать выделенную дополнительную учетную запись администратора для всех действий с повышенными правами, и их повседневная учетная запись больше не должна быть локальной учетной записью администратора (имеется в виду: они должны вводить другой пароль при получении UAC вместо того, чтобы просто нажать «Да»). Эти пользователи являются разработчиками, и им ДЕЙСТВИТЕЛЬНО нужна возможность запускать вещи от имени администратора, поэтому они должны знать пароль администратора.
Любые советы о том, как это сделать?
К вашему сведению: причиной этого является соблюдение требований CIS Controls, в данном случае 4.3.
Вещи, которые я рассмотрел
Я знаю, что могу отправить дополнительного локального администратора на все компьютеры через Intune, а затем удалить другие учетные записи из группы «Администраторы». Однако это означает, что я буду устанавливать одинаковый пароль администратора для всех компьютеров, что является проблемой безопасности.
Если бы я сделал это таким образом, есть ли способ заставить их изменить пароль своей учетной записи администратора?
Я читал о самодельных LAPS-решениях через Intune, которые устанавливали бы пароли случайным образом. Однако пользователи должны знать этот пароль и уметь его помнить.
