Групповая политика: делегирование определения членства в локальной группе

В сильно разветвленной организации с Active Directory я работаю с главным ИТ-отделом, и мы делегируем управление частям подразделения филиала администраторам соответствующих филиалов.

Наша концепция делегирования в настоящее время обрабатывает групповые политики таким образом, что мы создаем один объект групповой политики под управлением главного ИТ-отдела и один объект групповой политики, делегированный администратору филиала для каждого из филиалов, оба связанных на одном уровне с подразделением филиала, с -head GPO получает Enforced flag и Порядок ссылок 1.

При определении локальных групп (обычно это просто заранее определенные группы, такие как администраторы или пользователи удаленного рабочего стола) мы сталкиваемся с проблемой, которую довольно сложно делегировать. Конечная цель - получить все -head GPO определен в группе и объединен в -branch определения членства. Мы определяем локальные группы через GPP в -head как это:

Мы очищаем членство в группах, чтобы убедиться, что члены группы, которые были добавлены один раз через GPP, но удалены с тех пор, фактически удалены из локальных групп клиентов.

В той же группе могут быть определения членства, сделанные через GPP в -branch:

Теперь результат таков, что только -headопределение в конечном итоге присутствует на затронутых клиентах. Мы получаем почти такой же результат при использовании Restricted Groups вместо ГПЗ как Enforced флаг ссылки дает -head Предпочтение GPO над -branch. И при смешивании Restricted Groups на -head с ГПЗ на -branch, мы видим противоречивые результаты - в зависимости от того, какая CSE запускается первой (очевидно, порядок выполнения CSE не определен), группы могут содержать или не содержать определенных GPP членов из -branch.

Итак, каков был бы наиболее разумный способ централизованно обеспечить определенное членство, но при этом разрешить делегирование полномочий администраторам филиалов?