标签: windows active-directory
我正在尝试在我们的环境中实施技术控制,以便限制某些AD帐户在本地登录到工作站,但是应允许该帐户使用“运行方式”功能。我曾考虑过要在本地实施“拒绝登录” GPO,但要考虑的是这些是特权帐户,用户需要特权帐户才能提升权限以执行管理功能。
因此,“本地拒绝登录” GPO还将阻止使用“运行方式”功能来提升帐户。那么,如何阻止帐户实际登录Windows,但是该帐户应该能够使用“运行方式”?
拒绝本地登录GPO
GPO
“运行方式”也将受到影响。