我希望在我们的某些用户计算机上创建一个具有本地管理员组成员资格的AD帐户(因为他们是开发人员,需要完全管理员权限),但此帐户无法登录,只是使用提升权限。
我已经尝试了一个组策略来拒绝在本地登录","用户必须要求智能卡登录","登录时间设置为拒绝"但所有这些都会禁止帐户提升权限。
是否有一种简单的方法可以创建Active Directory帐户,该帐户是该计算机上本地管理员组的成员,但无法登录,仅用于提升权限?
答案 0 :(得分:-1)
有一种方法可以做到这一点。目前通过登录脚本GPO应用批处理文件。