Я должен разрешить только членам администратора домена открывать сеанс рабочего стола сервера. Как ограничить доступ к рабочему столу для некоторых компьютеров (обычно серверов) только для некоторых групп?
Если вы имеете в виду сеансы терминального сервера: вы можете сделать свою группу AD, к которой вы хотите иметь доступ, членом локальной группы «Пользователи удаленного рабочего стола» на желаемых вами серверах.
Если вы имеете в виду настоящий консольный сеанс: вы должны создать объект групповой политики с настройкой «Разрешить локальный вход» для этих групп в: Конфигурация компьютера -> Политики -> Настройки Windows -> Настройки безопасности -> Локальные политики -> Назначение прав пользователя -> Разрешить локальный вход.
Обязательно сначала добавьте локальную группу «Администраторы»!
Используйте фильтрацию безопасности, чтобы применить этот объект групповой политики только к нужным серверам.
Если это только для одного или двух серверов, возможно, GPO домена является излишним, вы можете установить этот локальный режим из «Администрирование» -> «Локальная политика безопасности» -> «Настройки безопасности» -> «Локальные политики» -> «Назначение прав пользователя» -> «Разрешить локальный вход в систему».