我的工作电脑是我们公司域的一部分。如果我理解正确的话,这让我们的域管理员可以更改或控制某些内容,例如强制自动更新 Windows。
由于多种原因,例如访问域资源,PC 需要连接到域(而不是本地工作组)。例如,如果不这样做,我就无法让 Windows 服务在域用户下运行(据我所知)。
因为这台电脑用于开发,所以我想完全控制它,比如(暂时)不允许更新。
是否可以拒绝其他(域)用户(如域管理员)的所有访问?
答案1
这是不可能的,域管理员总是完全访问到域中的每台计算机(无论如何在 Windows 环境中)。域管理员可以授予您的帐户本地管理员访问您使用的计算机,以及您的域名是否不是使用政府采购组织(组策略对象)来强制设置,然后您将能够更改更新行为之类的内容。
另一种方法是(非常礼貌,始终对你的管理员友善)要求域管理员使 GPO 不适用于你的 PC,或者仅应用不干扰您要配置的设置的 GPO,或者(如果您对他真的非常好)让他为您创建一个适合您需求的自定义 GPO。
但回答你的主要问题:不,不可能拒绝域管理员访问您的 PC,因为这会绕过域的设计目的,请求允许您修改 PC 的行为并希望您的域管理员同意。
答案2
解决此问题的方法是将您的环境移植到虚拟机,然后您就可以完全控制域管理员或至少控制本地系统资源:-)