我必须仅授予域管理员成员打开服务器桌面会话的权限。如何限制某些组只能访问某些计算机(通常是服务器)的桌面?
答案1
如果您指的是终端服务器会话:您可以将您想要访问的 AD 组设为您希望的服务器上的本地组“远程桌面用户”的成员。
如果您指的是真实控制台会话:您应该为这些组创建一个配置为“允许本地登录”的 GPO:计算机配置->策略->Windows 设置->安全设置->本地策略->用户权限分配->允许本地登录。
请务必先添加“管理员”本地组!
使用安全过滤将此 GPO 仅应用于您希望的服务器。
如果只针对一两台服务器,那么域 GPO 可能就有些大材小用了,您可以从管理工具->本地安全策略->安全设置->本地策略->用户权限分配->允许本地登录中进行本地设置。