零、前言
如果你问一位“Win7 启蒙”的 Windows 用户,Administrator 是什么,他可能会理解为泛指的“管理员”角色。但如果你问一位接触过“XP 时代”的用户,他会告诉你“这是超级管理员账号,在添加第一位普通管理员后,在非安全模式(F8)下默认隐藏,而添加普通管理员后,才可以添加第一位普通用户。”
一、XP时代过后,“Administrator”何去何从?
从供个人使用的 Windows 7 版本开始,“超级管理员”这个概念默认不再出现。但实际上,在以下的版本中,这个安全策略仍被保留:
- 部分供企业使用的本地设备版本中(这类系统多常见于非官方电脑店提供的系统镜像中,特征包括部分系统选项将有红字提示“Some settings are managed by your organization”、版本号可能会以 LTSC 等格式结尾等);
- Windows Server(服务器)版本(多数在安装时默认启用 Administrator 账户,部分云平台镜像会提示用户自定义用户名,但实际 Administrator 只是被禁用(Disabled),仍存在于系统中)。
二、限制与解决办法
“超级管理员账号”的限制有:一些高安全性的功能(例如 Windows Hello 的指纹识别、人脸识别等 Windows 登录方式)在超级管理员账号下不可用。其实指纹、人脸等互联网上提到的教程已经很多了,但“超管”用户的限制并不止于此。
同样的逻辑也延伸到 RDP。在使用 Duo、mOTP 等工具时,很多人会遇到一个问题:在完成2FA验证之前,已有的 RDP 连接会被强制断开,而不是在新的连接验证成功后再断开已有的连接。实际上,这与 Windows Hello 不可用等情况是一样的,也并不是 Bug,是系统的安全限制。
因而,与 Windows Hello 不可用等解决办法其实相同:Administrator(超管)账号不应用作日常办公使用,在新建普通管理员账号后,建议视情况在系统中停用(Disable)Administrator 账号。
三、写在最后
曾经我以为,从 Windows Server 2012 R2 往后的版本是因为安全策略的不断提升,有意识地对所有用户的 RDP 策略都实行类似的限制。也正因如此,我长期停留在 2012 R2 的环境中。事实上,2012 R2 之后基于 Windows 10 的三代 Server(2016、2019、2022)变体在低配硬件环境下的表现也确实不尽人意。所以即便没有 Duo 的限制,我大概还是会和许多 RDP 用户一样,选择继续使用 2012 R2。
不过在 Windows Server 2025(Windows 11对应的变体)中,情况终于有了明显好转,性能优化方面比前三个版本都要出色得多,可以说安全与性能终于在这一代达到了更好的平衡。再加上对 UWP 应用的支持(Server 系统通常需要通过 wsreset -i 手动启用),整体体验已经足够作为选择的理由。
也正好在这个时间点,终于清楚了实际的原因,算是赶上了合适的时机。从 18 年 Server 2012 R2 的 EOL,到 24 年 Server 2025 的发布,不觉间已经 6 年了。Duo 于 25 年宣布旧版本的长期 CA 证书将在 26 年过期时,2012 R2 及其对应的 Win8 系统,新版本的 Duo 也早已不再支持。多年过去,许多事已不再相同,不知你的初心,是否依旧。
文章评论