私の仕事用 PC は会社のドメインの一部です。私の理解が正しければ、ドメイン管理者は Windows の自動更新を強制するなど、いくつかの変更や制御を行うことができます。
ドメイン リソースへのアクセスなど、いくつかの理由により、PC は (ローカル ワークグループではなく) ドメインに接続する必要があります。たとえば、これを行わないと、Windows サービスをドメイン ユーザーで実行することはできません (私の知る限り)。
この PC は開発用なので、(一時的に)アップデートを許可しないなど、完全に制御できるようにしたいと考えています。
ドメイン管理者など、他の (ドメイン) ユーザーへのアクセスをすべて拒否することは可能ですか?
答え1
これは不可能です。ドメイン管理者は常に全権アクセスドメイン上のすべてのマシン(Windows環境の場合)にアカウントを付与できます。ドメイン管理者はローカル管理者使用しているコンピュータへのアクセス、およびドメインがない使用してGPO(グループ ポリシー オブジェクト) を使用して設定を適用すると、更新の動作などを変更できます。
代替案としては、(非常に丁寧に、常に管理者に優しく)ドメイン管理者に依頼することです。GPOをPCに適用しないようにするまたは、構成したい設定に干渉しない GPO のみを適用するか、(本当に親切な場合は) ニーズに合わせたカスタム GPO を作成してもらいます。
しかし、あなたの主な質問に対する答えは次のとおりです。いいえただし、ドメイン管理者による PC へのアクセスを拒否することはできません。これは、ドメインの設計目的を回避することになるためです。PC の動作を変更する許可を要求し、ドメイン管理者が同意することを期待してください。
答え2
これを回避する方法は、環境を VM に移植して、ドメイン管理者または少なくともローカル システム リソースを完全に制御できるようにすることです :-)