Предоставьте права локального администратора группе пользователей AD для группы компьютеров

Мне нужно предоставить административные привилегии группе пользователей для группы ПК в среде Active Directory.

Например, у меня есть:

HelpDesk_User: Группа пользователей
HelpDesk_PC: Группа компьютеров

Я хочу дать каждому члену группы HelpDesk_User права локального администратора на каждом компьютере, входящем в HelpDesk_PC. Могу ли я сделать это через групповую политику? Как ?

На данный момент я вручную добавляю группу HelpDesk_User (или каждого члена этой группы) в локальную группу администраторов для каждого компьютера. Есть ли способ сделать это с помощью централизованной групповой политики AD?

Спасибо.

windows-server-2008 active-directory

Да, вам нужны группы с ограниченным доступом.

Создайте новый объект групповой политики для подразделения ваших рабочих станций.
Конфигурация компьютера -> Параметры Windows -> Группы с ограниченным доступом
Щелкните правой кнопкой мыши, Добавить группу
Выберите свою группу для пользователей, которые будут администраторами локальной рабочей станции
Эта группа является членом -> Добавить и введите Администраторы.

Выйдите из GPO и запустите gpupdate / force на рабочих станциях, чтобы подобрать новый GPO. Проверьте локальных пользователей / группы, чтобы увидеть, входит ли ваша группа администраторов в группу локальных администраторов.

Смотрите здесь больше фото: http://myitforum.com/cs2/blogs/rdixon/archive/2008/06/17/how-to-add-domain-accounts-to-local-administrators-group-using-gpo.aspx