Пользователи, подключенные через VPN, должны иметь подключение к контроллеру домена (возможно, только для чтения) для подтверждения аутентификации учетной записи. Это звучит как центр вашей конкретной проблемы. Если компьютер Windows не видит Active Directory, он не сможет подтвердить изменения на уровне домена, в том числе ваши администраторы пытаются сделать пользователя администратором. Обратитесь к своему провайдеру VPN, чтобы убедиться, что соответствующие правила брандмауэра настроены для аутентификации на основе домена.
Когда пользователь подключен к VPN, системный администратор должен иметь инструмент удаленного доступа, чтобы иметь возможность совместно использовать экран и просматривать все всплывающие окна управления UAC. Dameware и встроенный инструмент Remote Assistance работают хорошо. WebEx не делает этого, поскольку он «отключает» удаленный сеанс, когда появляется приглашение UAC.
Используя инструмент удаленного доступа, системный администратор может щелкнуть правой кнопкой мыши файл установщика и выбрать «Запуск от имени администратора» или «Запуск от имени другого пользователя» и использовать учетные данные администратора для запуска программы установки. Когда пользователь подключен к VPN, компьютер сможет проходить проверку подлинности на контроллере домена Active Directory и предоставлять администратору доступ для запуска программы установки. Это также «кэширует» учетные данные для будущего использования, как если бы администратор заранее вошел в систему локально, а пользователь не видит и не знает пароль администратора в любой момент.
Если это файл MSI или требуется командная строка, щелкните правой кнопкой мыши значок командной строки в меню «Пуск» так же, как описано выше, и после проверки подлинности используйте MSIEXEC для установки MSI.
LAPS, как упомянул Slipeer, будет настроен позднее, так как он не решит насущную проблему. Это решает проблему, когда у пользователя нет подключения к сети или VPN, позволяя Active Directory управлять отдельными учетными записями локального администратора, но если удаленный пользователь не может подключиться к домену через VPN прямо сейчас, его нельзя отправить в систему.
Если вы не можете использовать инструмент удаленного доступа, чтобы обойти UAC, вы можете использовать compmgmt.msc на локальном компьютере, подключиться к компьютеру пользователя, создать временную локальную учетную запись администратора и использовать ее, как указано выше, а затем отключить ее до отключения пользователя из VPN. Опять же, это может быть сделано только при наличии подключения к контроллеру домена Active Directory.