Есть ли способ предоставить учетным записям домена административный доступ на определенных машинах, а не на других?
Я могу контролировать доступ и права, на которых пользователь может войти в систему и какие у него права в глобальном масштабе, но есть ли способ контролировать их на отдельных машинах?
Да.
Вы можете добавлять учетные записи домена на отдельные машины, а также в любые группы на отдельных машинах. На ручная, разовая (например, NET LOCALGROUP Administrators [domain]\[account] /ADD
), программно со сценарием, или даже использование групповой политики для динамической обработки и автоматически.
Добавьте их в группу локальных администраторов на отдельных машинах. Если вы хотите управлять этим централизованно, добавьте группу безопасности домена для каждой машины / группы машин, что позволит вам добавлять / удалять членов этих групп в активном каталоге.