Active Directory - Администрирование профиля пользователя / рабочей станции без доступа к файловой службе - Передовой опыт

Мы - небольшая компания с 15 пользователями, которая сейчас настраивает свой первый Active Directory (1 компьютер с Windows Server 2016 Essentials). Я не уверен, как настроить безопасную среду для моей ситуации в отношении обслуживания рабочих станций (и я также довольно новичок в этой теме).

Я - ИТ-администратор, а также менеджер компании, и у меня есть сотрудник, который помогает мне поддерживать пользователей с их локальными компьютерами (назовем его "администратор рабочей станции"). У нас есть сложные надстройки Excel, пользовательские R-скрипты, пользовательские почтовые учетные записи, не относящиеся к домену, и т. Д., На наших рабочих станциях, а иногда пользователям нужна ИТ-поддержка для его настройки, обновления, отладки и т. Д. Поскольку профили довольно специфичны, большая часть конфигурации должна выполняться в локальном профиле пользователя.

Для этого пользователи передают свои вошедшие в систему компьютеры администратору рабочей станции, который затем решает проблемы с настройкой (пользователи обычно идут на собрание или на кофе и т. Д.). Однако я не хотел бы, чтобы администратор рабочей станции имел доступ к ресурсам SMB чувствительных пользователей (бухгалтерия, менеджеры, персонал) во время его работы по обслуживанию.

На данный момент (с использованием файлового сервера Windows, но без домена) я делаю следующее: у меня развернут сценарий входа / выхода из системы на компьютерах, чтобы пользователи могли выйти с файлового сервера и повторно подключиться с менее привилегированным пользователем поэтому появляются только "обычные" smb-акции. Политика заключается в том, что пользователям необходимо выйти из системы с помощью этого сценария, прежде чем передать ПК кому-либо еще. Когда ПК возвращается, пользователи запускают сценарий входа в систему, который запрашивает учетные данные для возврата привилегированных общих ресурсов SMB. Это оказалось хорошо работать для нас.

Я ищу решение для поддержания этого типа уровня безопасности в архитектуре активного каталога, и мне интересно, что может быть лучшим решением (я предполагаю, что другие компании также имеют эту проблему). Я рассматриваю несколько решений (дополнительный недоменный файловый сервер, шифрование общих ресурсов, многофакторная аутентификация и т. Д.), Но я не пришел к решению.

У вас есть предложения по этой проблеме? Спасибо!