允许通过RDP对AD用户和计算机进行非pipe理员访问

我试图locking我们的AD域,并从我们的域pipe理员组中删除不需要的用户。 我是一个Linux的人,所以这是一些新的或不同的。

我们是所有的Mac商店,所以我们pipe理我们的广告的唯一方法是直接在广告本身。 我们设置了允许RDP进入系统,并将其locking到应该有权访问的一组有限的组,但是当用户试图打开“AD用户和计算机”应用程序(MMCpipe理单元)时,在)。 他们会立即出现一个询问pipe理员凭据的对话框,以允许应用程序修改系统。

我们在Windows 2 R2服务器上安装2个RW DC和一个RO DC。

任何帮助将是伟大的! 谢谢!

您很可能会收到提示,因为您已将其从域pipe理员组中删除,并在DC本地启动应用程序需要这些权限。

你真的需要RSAT工具,但是所有的Mac,没有Windows虚拟机,这将是很难。 如果您不介意安全风险,则可以尝试禁用域控制器上的UAC。

域用户有权访问默认读取所有AD对象,以便他们可以通过ADUC控制台打开并查看所有对象,但只有在林,域或OU级别的委派控制之后才能进行任何更改。