使用不同的 AD 帐户提升权限
Elevating permissions with a different AD account
我想在我们的一些用户计算机上创建一个具有本地管理员组成员资格的 AD 帐户(因为他们是开发人员并且需要完全的管理员权限)但是这个帐户应该无法登录,只是使用提升权限。
我已经尝试了 "deny log on locally"、"user must require smart card to log on"、"logon hours set to denied" 的组策略,但所有这些都禁止帐户提升权限。
有没有一种简单的方法可以创建一个 Active Directory 帐户,该帐户是该计算机上本地管理员组的成员,但无法登录,仅用于提升权限?
有一种方法可以做到这一点。当前使用通过登录脚本 GPO 应用的批处理文件完成。
我想在我们的一些用户计算机上创建一个具有本地管理员组成员资格的 AD 帐户(因为他们是开发人员并且需要完全的管理员权限)但是这个帐户应该无法登录,只是使用提升权限。
我已经尝试了 "deny log on locally"、"user must require smart card to log on"、"logon hours set to denied" 的组策略,但所有这些都禁止帐户提升权限。
有没有一种简单的方法可以创建一个 Active Directory 帐户,该帐户是该计算机上本地管理员组的成员,但无法登录,仅用于提升权限?
有一种方法可以做到这一点。当前使用通过登录脚本 GPO 应用的批处理文件完成。