В настоящее время я использую учетную запись в группе администраторов на компьютере, чтобы убивать процессы и удаленно останавливать / запускать службы Windows с помощью инструмента, написанного на C # (wmi), но это вызывает проблемы, поскольку нахождение в группе администраторов также позволяет пользователям регистрировать на целевой компьютер через удаленный рабочий стол, а я этого не хочу.
Какие у меня здесь варианты?
Если пользователю вообще не нужно входить в систему, вы можете добавить его в Deny log on locally параметр политики безопасности (или Deny Log on through Terminal Services, если вы хотите разрешить вход через консоль).
Это можно сделать либо с помощью групповой политики в домене, либо с помощью локальной политики безопасности (secpol.msc); настройка находится в Security Policies -> Local Policies -> User Rights Assignment.