Терминальный сервер - нужно запретить доступ с определенного компьютера домена
 

Задача:
Есть домен. Все компьютеры в домене. Контроллеры домена на Windows 2003 R2. На втором контролере домена поднят TS. 10 человек работают в 1С. Все хорошо.
Надо завести отдельную учетку локального админа сервера и отдать ее начальнику отдела безопастности (что правильно в принципе). Но, сделать доступ к серверам через TS из заведенной УЗ только с компьютера начальника службы безопастности.
В голову пришел только вариант с запретом входа с определенных компьютеров. Можно ли запретить вход на TS с определенного компьютера домена, даже с правильными учетными данными?
ЗЫ. Остальные пользователи заходят через отдельные учетки вида ts_1, ts_2 состоящие в группе Remote Desktop Users. В Default Domain Controller Policy этой группе разрешен терминальный вход на КД.
Если есть еще конструктивные идеи, буду благодарен...

локальный админ на КД? прикольно.
можно запретить совсем, с определённых IP.
учётные данные проверяться не будут, ни встроенным файерволом, ни IPSec'ом, который можно было прикрутить.
вам нужен файервол уровня MS ISA, которая это позволяет.

а если в встроенном фаерволе настроить список резрешённых сетей? у меня так, разрешён вход только с двух IP...
да, в свойствах учётной записи разрешить входить Log on на сервера из группы "domain server" (сами создаёте эту группу).
И в этой группе будут все сервера, кроме запрещённого.

Эмм... ну не совсем то, что надо. Я правил шапку, первый вариант вопроса был более эмоциональным :)

Попробю сформулировать точнее.
Заводится УЗ с определенными правами - можно зайти на все сервера в домене, допустим вкл\выкл службы. Эта УЗ будет отдана на хранение спец.человеку. Так как веры этому человеку нет, надо сделать следующее - что-бы в терминал с этой УЗ можно было зайти только с его компьютера. Так что бы другие лица узнавшие данные этой УЗ не могли входить под ней со своих компьютеров.

Начинаю смотреть в сторону сертификатов :)