Как ограничить доступ администратора по IP-адресу источника для любого протокола на Windows?

Я хочу убедиться, что административный доступ к контроллерам домена Windows разрешен только с определенных IP-адресов.

Примечание. Я имею в виду не только доступ по протоколу RDP, но и ЛЮБОЙ порт / протокол, обеспечивающий административный доступ: SMB, WMI, LDAP, ADSI и т. Д.

Большинство из этих портов на контроллерах домена по умолчанию доступны клиентским компьютерам. Таким образом я не могу поставить IP-фильтры, чтобы заблокировать их.

Мне нужно решение на основе пользователей / групп, которое позволяет входить в систему администратора только с определенного диапазона IP-адресов.

Каков наилучший способ сделать это?

Единственная идея, которая у меня есть, - сделать скрипт, проверяющий некоторые события входа в систему в режиме реального времени и уничтожающий нежелательные соединения. Это не очень элегантно и не гарантирует мгновенную блокировку.

Это должно быть очень распространенной проблемой в больших сетях и мультитенантных средах.

Есть ли идея получше?