完全懂你的顾虑——上次把主管理员账号给服务商后，我猜你重新获得权限的第一件事就是改密码，换谁都会担心核心数据被随意触碰。针对Windows Server 2022，咱们可以通过创建一个受限的技术支持专用账号/组来解决这个问题：既能让他们处理网络配置、服务重启这类基础运维需求，又能把你的SQL数据、离线凭证、软件密钥这些敏感资源牢牢锁死。

一、先建一个技术支持专用用户组（方便统一管理权限） #

• 右键开始菜单打开计算机管理，展开左侧的本地用户和组→组。
• 右键空白区域选新建组，组名可以叫TechSupportOps（或者更接地气的“技术支持运维组”），描述就写“仅限技术支持人员用于基础运维，无核心数据访问权限”，先点创建，成员后面再加。

二、给这个组分配「刚好够用」的运维权限 #

1. 先加几个内置组，满足基础运维 #

• 右键刚建的TechSupportOps组，选属性→成员属于，点击添加，搜索并加入这几个内置组就行（这些组的权限刚好卡着“能干活但不越界”的线）：
  • Remote Desktop Users：允许他们用RDP远程连服务器
  • Server Operators：能管理服务器服务、重启系统、配置网络，但没有本地管理员的全部权限，也碰不到其他用户的私人文件
  • Event Log Readers：可以查看系统日志，方便排查问题
• 划重点：绝对别把这个组加到Administrators组里，那等于直接把服务器控制权交出去了，完全违背咱们的初衷。

2. 给核心数据加「拒绝访问」的锁 #

• 找到你存敏感数据的文件夹（比如放SQL备份、离线凭证、软件密钥的目录），右键→属性→安全→编辑。
• 点击添加，搜索并选中TechSupportOps组，然后在权限列表里把完全控制、修改、读取和执行这些权限都设为拒绝——Windows里拒绝权限是优先于允许权限的，哪怕其他组给了允许，这里的拒绝也会生效，彻底把他们挡在外面。
• 要是涉及SQL数据库，打开SQL Server管理工具，找到你的目标数据库，右键→属性→权限，添加对应技术支持账号（后面创建的用户要加入刚才的组），只给查看数据库状态、连接数据库的权限，坚决禁止删除、修改、备份这类敏感操作。

三、创建具体的技术支持用户账号 #

• 回到计算机管理→本地用户和组→用户，右键空白处选新建用户，用户名比如TechSupport01，密码设个复杂点的（随机生成就行，给支持的时候临时发），勾选用户不能更改密码和密码永不过期（避免支持到一半密码失效），一定要取消用户必须在下次登录时更改密码这个选项。
• 右键刚建的用户，选属性→隶属于，点击添加，把它加入之前创建的TechSupportOps组，默认的Users组保留就行，不影响权限。

四、额外的安全小技巧，再上一层保险 #

• 临时启用，用完就锁：每次需要技术支持协助时再启用这个账号，问题解决后立刻禁用（右键用户→属性→勾选账户已禁用），甚至直接删掉，下次需要再建新的——从根源上减少账号被滥用的风险。
• 开启登录审计：打开本地安全策略→本地策略→审计策略→审计登录事件，勾选成功和失败，之后你可以在事件查看器的安全日志里随时查这个账号的登录时间、操作记录，做到心里有数。
• 限制远程登录IP：如果你的服务商有固定的运维IP段，去Windows防火墙里加个规则，只允许这个IP段的地址连RDP，哪怕账号密码不小心泄露了，别人也没法从其他IP登录服务器。

这样设置下来，技术支持人员既能处理网络、服务这类常见问题，又碰不到你的核心数据，你也不用再把自己的主管理员账号交出去了，安全感直接拉满。

备注：内容来源于stack exchange，提问作者Adam