刪除本地管理員權限是一個提高Windows安全的有效方法，但有關撤銷用戶桌面控制權的政策往往對管理員造成阻礙，使其無法利用這一有效方法。

當用戶具有本能管理權限時，他們可以在自己的工作區做任何想做的事情。比如下載任意應用程序，使用任何程序，甚至忽略或撤銷IT管理員對他們設備所做的設置。很多用戶——尤其是高層——不喜歡無法完全控制設備所帶來的枷鎖，因此很多管理員讓用戶做自己設備的主人。

在許多情況下，決定是否允許本地管理員權限多半基于感情而不是事實，但是管理員不能讓這種情緒決定他們對安全的管理方式。

為什么要限制本地管理權限?

本地管理的權限給用戶過多的權力。終端是許多企業安全風險的主要所在，給用戶控制這些端點的權力只不過是開放網絡引發更大的風險。

惡意軟件藏在每一個角落。定期瀏覽網頁和電子郵件網絡釣魚把Windows工作站推向持久性的風險。如果用戶有本地管理員權限，那么風險更大，因為他們可以否決IT的安全措施。一個簡單的身份驗證漏洞掃描可以發現企業桌面缺少多少補丁(微軟和第三方)。掃描還可以顯示大量的配置漏洞，而這些漏洞將Windows操作系統置于風險之中。

禁止用戶使用工作站本地管理權限的組織要比那些讓用戶享有自己權限的組織有更好的安全保護。最初奪走用戶的管理權可能會有些痛苦，但是后期工作站的脆弱性，相關的事故和安全隱患所發生的頻率也會大大降低。

當然，為用戶提供本地管理員權限也存在一些業務原因。兼容性、缺乏IT資源的故障診斷、政治和官僚機構都是有可能的因素。但是所有這些原因都不足以抵消刪除本地管理權限所帶來的好處。

重要的是，公司為他們的業務做正確的事情，同時權衡相關的風險。如果組織預先為這些業務做出合適的人選，那么他們可以限制本地管理員權限并且不會產生不利后果。可以撤銷一部分用戶群體的本地管理權利，或對在高風險部門工作的用戶增加限制，如客戶服務和銷售。將這些限制和系統升級過程一并實現，這樣會讓一些用戶更容易接受。

無論如何，IT管理員不應該讓猖獗的本地管理員權限危及他們的組織，而且他們不能給予用戶所有的權限后卻不知道為什么企業會面臨Windows安全問題。