Windows Server リモート管理: 最小限の変更で Active Directory の中央サーバーから GUI 管理を有効にする方法を教えてください。

中央の Windows Server から GUI を使用して、Active Directory 環境内のサーバーを完全に管理できるようにしたいと考えています。

私がこの質問を Server Fault に持ち込んだのは、Windows Server 内には複数の種類の「リモート管理」があるようで、私が見つけたさまざまな記事では、それを有効にする方法がそれぞれ異なっており、わかりにくいと説明されていたからです。

私の理想的なワークフローの例:

1. GUI を使用して唯一の中央サーバーにログインします。
2. [すべてのサーバー] に移動し、管理するサーバーを右クリックします。
3. 「コンピューターの管理」をクリックすると、MMC を通じて利用可能なものを管理できるようになります。たとえば、ディスク管理、デバイス マネージャー、タスク スケジューラなどです。

これを実行する方法を調べているときに、次の点が私を混乱させます。

1. 特定の機能をリモートで管理するには、ファイアウォールの例外を有効にする必要があります。たとえば、ディスク管理では、リモートボリューム管理ファイアウォールグループを有効にする必要があります。これは、コアサーバーの「リモート管理の構成」とは別のものです。sconfig.cmd
2. 管理されるサーバーと管理を行うサーバーの両方でこれを行う必要があります。
3. Windows リモート管理は、これらすべての機能を網羅するものではありません。

sconfig.cmd＃1 は、管理対象のサーバーの Core インストールに入ると と表示されるため、混乱を招きます4) Configure Remote Management Enabled。したがって、おそらくこれはすでにそれを実行しているはずです。それが実行されていない場合、実際に何が有効になっているのでしょうか?

#2 は、ファイアウォール グループが着信接続にのみ影響するため、混乱を招きます。なぜこれが管理サーバーに関係するのかはわかりません。

#3 は、Powershell/コマンド プロンプトの管理に特化したものであり、個々のコンポーネントの有効化とは関係がないように思われるため、混乱を招きます。命名の選択が適切でない、または説明が不十分であるように思われます。ただし、この点については確信がありません。

私の主な質問は、「Active Directory のファイアウォール/設定の変更を最小限に抑えて、目的を達成するにはどうすればよいか」ということです。

これらの機能を有効にする方法について、私は間違った角度からアプローチしているのでしょうか、それとも何かを誤解しているのでしょうか? これらの機能が広く使用されると予想されることを考えると、これは必要以上に手間がかかり、必要以上に混乱を招くように思えます。

私が見つけたさまざまなガイドに従って作業を進めると、有効化/許可すべきではない、または有効化/許可する必要がないものを有効化/許可してしまう可能性が高くなります。