В домене, к несчастью (а может быть и к счастью) нет такого понятия как локальный администратор, но можно наделить пользователя этими правами.
Статья будет описывать такой функционал Active Directory как “группы с ограниченным доступом” или “restricted groups” на примере добавления в группу пользователей с последующим наделением их правами локального администратора.
Создаем группу безопасности (скажем localAdmins) и добавляем в OU компьютеры, на которых будет резрешена работа учетной записи с правами локального администратора.
В редакторе групповых политик переходим в раздел:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Группы с ограниченным доступом
Добавляем ранее созданную группу, к примеру DOMAINNAME\localAdmins
В следующем окне в нижнем разделе (Эта группа является членом в:) вписываем “Администраторы”
В разделе:
Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователя
Добавляем группу localAdmins в следующие политики:
- Вход в качестве пакетного задания
- Вход в качестве службы
- Работа в режиме операционной системы
Оригинал статьи можно найти тут, за что автору респект.