Precisamos acessar sistemas de clientes (desktops) remotamente para realizar atividades rotineiras de solução de problemas, no entanto, esse método não é muito seguro, pois expõe os dados locais ao pessoal de suporte. Além disso, o suporte possui credenciais ADMIN para efetuar login nos sistemas do usuário final. Outros usuários não podem ver o que está acontecendo em seu sistema porque a tela fica bloqueada enquanto está sendo acessada remotamente.
Existe uma maneira de o GPO solicitar alguns IDs dedicados do cliente com direitos limitados e fazer com que a OU tenha acesso restrito a compartilhamentos de arquivos, unidades locais, aplicativos, etc.?
Eu pesquisei em fóruns da Microsoft e isso parece possível, mas queria confirmar se alguém implementou isso.
Sim, você pode criar usuários limitados com direitos de área de trabalho remota e atribuir esses usuários a sua equipe de suporte. Você também pode usar solicitações de Assistência Remota ou usar aplicativos de compartilhamento de tela como VNC, Intelliadmin, DameWare Utils e qualquer um de uma dúzia de outros que eu possa ter perdido.