在我工作的公司,我们大约有 75 名计算机用户。我们的服务器环境 (MS Server 2012) 中有一个 Microsoft 域控制器,带有 Active Directory。
当用户需要安装软件时,Windows 会提示他们输入管理员用户名和密码。这意味着他们需要打电话给我,我可以远程登录他们的计算机(使用 TeamViewer),然后输入我的凭据以安装软件。
我不想继续控制用户可以安装什么,但为了简单起见,我想在 AD 中有一个安全组,我可以在其中临时添加用户以授予他们管理访问权限。此访问仅需本地访问。不允许对我们的服务器进行 RDP 访问!
我在网上找到了一些示例,解释了如何执行此操作,然后按照说明进行操作。(抱歉,我不再有这些网站的链接)。基本上,我所做的如下:
我已经在 Active Directory 中创建了我的组,并添加了一个用于测试目的的用户“临时登录”。
...我已经创建了一个 GPO,并将我的组添加到“受限用户”中。
当提示我加入会员时,我添加了“管理员”
好吧,这个方法几乎完全符合我的要求。我可以用 TLogin(之前为了测试目的添加的临时登录帐户)登录笔记本电脑。我可以毫无顾虑地安装软件。不过,只有一个问题。
我仍然拥有使用 RDP 访问服务器的完全访问权限!
我怎样才能改变我的方法以仅允许本地访问?