移除管理员权限

简介

在 Endpoint Central 中移除管理员权限，会限制某些用户或组在管理终端设备上的应用程序时所拥有的管理特权。这可通过防止未经授权的应用安装、修改或卸载来增强安全性，并降低恶意软件感染和其他漏洞的风险。

通过选择一台计算机并点击“移除本地管理员”，其中的所有本地管理员帐户都将被移除，但在排除策略中保留的帐户除外。用于在全局范围内保留某些管理员帐户的策略可在“排除策略”选项卡中创建。系统管理员可根据需要选择仅保留其自己的帐户、内置管理员帐户或任何其他帐户。移除所有不必要的本地管理员帐户后，系统管理员即可继续创建特权应用程序列表。随后，该列表可与用户设备的自定义组相关联，从而允许特定用户以管理员身份运行这些应用程序，即使他们仅被授予标准用户权限。以下说明如何利用“移除管理员权限”功能，消除大部分攻击面：

• 识别并分析管理员帐户：评估整个网络中本地管理员帐户的分布情况，对于识别安全漏洞至关重要。“管理员权限摘要”选项卡会显示与已发现计算机对应的本地管理员帐户列表，便于您分析并尽量减少不必要的权限。“本地管理员计数”会显示每台计算机上的本地管理员帐户数量。
• 修复：在确定需要移除或保留的本地管理员帐户后，您可以手动删除它们或配置自动移除。为防止帐户被删除，请将其包含在排除策略中。

排除策略

“排除策略”选项卡允许您创建保护特定管理员帐户的全局策略。无论这些帐户出现在何处，它们都会在所有计算机上被保留。系统管理员可根据需求决定仅保护自己的帐户、内置管理员帐户或任何其他帐户。

手动移除管理员权限

排除策略确定后，系统管理员可以手动或自动移除其余不必要的帐户。要手动删除这些帐户，请转到“管理员权限摘要”选项卡，选择要修改的计算机，然后点击“移除本地管理员”。在下一次刷新周期中，这些计算机上所有本地管理员帐户的管理员权限都将被移除，但排除策略保留的帐户除外。

自动移除管理员权限

选中“启用自动移除”复选框后，将在下一次刷新周期（90 分钟）中，从所选计算机组中移除所有其他管理员帐户。