0
我期待在我們的某些用戶計算機上創建一個擁有本地管理員組成員身份的AD帳戶(因爲他們是開發人員,需要完整的管理員權限),但該帳戶不應該能夠登錄,只是用來提升權限。使用不同的AD帳戶提升權限
我試過組策略以「拒絕本地登錄」,「用戶必須要求智能卡登錄」,「登錄時間設置爲拒絕」,但所有這些都會禁止帳戶提升權限。
是否有一種簡單的方法來創建一個Active Directory帳戶,該帳戶是該計算機上本地管理員組的成員,但無法登錄,僅用於提升權限?
這樣做沒有支持的方式。 Windows安全模型不區分登錄到GUI會話和任何其他交互式登錄。也就是說,你可能會做一些事情,例如拒絕對explorer.exe或對GUI登錄程序至關重要的其他可執行文件之一的帳戶訪問權限。 –