A la luz de la falta de técnicos para visitar sitios e instalar software en las PC, los usuarios solicitan los derechos de administrador local para hacerlo ellos mismos.
¿Hay una manera o procedimiento seguro de hacer esto para los usuarios de manera controlada?
Historia corta: es posible y puede usarse de manera segura para los usuarios de advanced , pero debe saber que esos usuarios tienen derechos administrativos en su máquina desde ese punto.
Ahora para la historia más larga:
Darle una cuenta de administrador local a un usuario tiene sentido si él / ella conoce las reglas de seguridad generales. Porque una vez que lo tiene, el administrador ya no puede proteger la máquina de sus errores. Pero utilicé ese método como administrador no profesional pero profesional para una computadora portátil. Necesitaba poder hacer operaciones administrativas incluso durante el fin de semana cuando los administradores de mi red no me podían ayudar, por ejemplo, cambiando una dirección IP para conectar mi computadora portátil profesional a mi acceso personal a internet. O instalar un lector en particular para mostrar un documento importante.
La regla era:
Si teme que un usuario pueda instalar algo, darle una cuenta de administrador local está muy cerca de abrir la caja de Pandora: todo puede pasar más allá de ese punto
TL / DR: si bien puede ahorrar tiempo tanto para los administradores como para los usuarios, solo se debe otorgar una cuenta de administrador local a las personas educadas en seguridad
Como se dijo en el comentario, si la necesidad de operaciones administrativas es solo durante las horas de trabajo normales, y si la proporción usuario / administrador no es demasiado alta, el escritorio remoto de los administradores puede ser una alternativa más segura y sencilla ...
Parece que está buscando una solución de administración de privilegios. Hay una variedad de proveedores que ofrecen productos en este espacio. No me gustaría recomendar una sobre ninguna otra. Tendría que evaluar cuál es la mejor opción para su entorno y sus necesidades. Pero un buen lugar para comenzar sería mirar lo que SANS ha publicado para "Uso controlado de privilegios administrativos" en enlace
Las cuentas de administrador local para usuarios estándar son una mala idea. Abre una serie de otros problemas para solucionar problemas, incluido el software conflictivo, el cambio involuntario de las configuraciones necesarias, etc. Está brindando una superficie más amplia para atacar si permite que sus usuarios sean administradores locales en un cuadro y crea más problemas para actualizar / administrar Software de terceros.
Lea otras preguntas en las etiquetas windows privileged-account