Windows 使用其他广告帐户提升权限

我希望在我们的一些用户计算机上创建一个具有本地管理员组成员身份的广告帐户（因为他们是开发人员，需要完全的管理员权限），但此帐户不应能够登录，仅用于提升权限

我尝试了一个组策略“拒绝本地登录”、“用户必须要求智能卡才能登录”、“登录时间设置为拒绝”，但所有这些都会禁止帐户提升权限

---

是否有一种简单的方法可以创建Active directory帐户，该帐户是该计算机上本地管理员组的成员，但无法登录，仅用于提升权限？

有一种方法可以做到这一点。当前使用通过登录脚本GPO应用的批处理文件完成。

不支持这样做。Windows安全模型不区分登录GUI会话和任何其他交互式登录。也就是说，您可能会做一些事情，比如拒绝帐户访问explorer.exe或对GUI登录过程至关重要的其他可执行文件之一。