授予 AD 使用者帳戶在特定機器上的管理員訪問權限

有沒有辦法讓基於域的帳戶在特定機器上而不是其他機器上進行管理訪問？

我可以控制使用者可以登錄哪些機器的訪問和權限，以及他們在全球範圍內的權限，但是有沒有辦法在單個機器上控制它們？

是的。

您可以將域帳戶添加到單台電腦，也可以添加到您希望在單台電腦上的任何組中。在手動、一次性的基礎上（例如）、使用腳本以NET LOCALGROUP Administrators [domain]\[account] /ADD程式方式，甚至使用組策略來動態和自動地處理它。

將它們添加到各個機器上的本地管理員組。如果您想集中管理它，請為每台機器/機器組添加一個域安全組，使您能夠在活動目錄中添加/刪除這些組的成員。

引用自：https://serverfault.com/questions/607302