Ethril:
> По умолчанию - да.
Вот прямо сейчас проверил, встроенная учётная запись администратора по умолчанию всё выполняет в обход всяких UAC: https://storage.sbg1.cloud.ovh.net/v1/AUTH_e473c1c...
Кажется, это обычное поведение для _встроенной_ учётной записи администратора. Регулировать его можно групповыми политиками.
> Есть разные подходы.
Сомнений нет: если управление над самими компами не нужно и пользователи хотя бы мало-мальски самостоятельны - их рабочие станции не обязательно полностью заводить в домен. Ваш подход по-своему удобен в некоторых средах.
Я не пытался пропагандировать AD. Я описал best practice про то, как обычно используется (а точнее - не используется) _встроенная_ учётка администратора. Это чисто сервисный аккаунт. Разумеется, его можно использовать за основной профиль, но многих нежелательных нюансов не миновать - с одним из них столкнулся Павел. Благо, локальные политики всё-же позволяют изменить это поведение.
Ethril:
> У встроенного Администратора ровно также, как и у остальных, работает UAC
В домене - да, но у локальных администраторов вне домена, насколько я понимаю, по умолчанию нет, поэтому нужны доп. манипуляции в локальных политиках.
> И лишают юзеров админских прав на компе далекоо не везде в корпоративной среде.
Безусловно, но и сидят в этих компаниях пользователи не под учёткой "Administrator", если там практикуется хоть сколько-нибудь маломальское разграничение доступа или управление конфигурациями.
Павел:
Включив UAC и настроив локальные политики по примеру в ответе, у вас должны перестать выполняться без подтверждения какие-либо административные операции.
Например 'sfc --help' у вас не должен выполняться до тех пор, пока вы не откроете командную строку, кликнув "от имени администратора".
Павел: Работа от администратора - тоже самое, что пытаться форсить sudo для root. У root и так все права уже есть.
Другими словами, использовать встроенную учётку "Администратор" за основную - моветон. К ней обращаются для обслуживания.
Попробуйте создать себе новый профиль со своим именем. Так работают в корпоративной среде - все сотрудники работают исключительно от своего имени, не имея повышенных привилегий. При этом, когда нужно, они жмакают "запуск от имени администратора" и просят местное IT ввести админский пароль.
Виртуализация добавляет определённые накладные расходы, но на практике это проявляется только при очень большой нагрузке, граничащей с highload, или в задачах, где любой лишний latency, даже если это наносекунды, недопустим.
