Добавьте «Администраторов рабочих станций» в локальную группу администраторов при присоединении к домену.

Есть ли хороший способ решить следующую проблему?

В домене есть группа безопасности AD под названием «Администраторы рабочих станций» для пользователей, которые не должны быть администраторами домена, но должны иметь локальный административный контроль над всеми рабочими станциями в домене.
Технические специалисты часто забывают добавить эту группу вручную после присоединения ПК к домену и тратят время впустую на то, чтобы диагностировать, вернуться и сделать это

Кто-нибудь знает автоматический способ добавления этой группы или запуск сценария при присоединении к домену? Или нам нужно будет запускать автоматизированный процесс аудита время от времени постфактум?

windows-server-2003 workstation-management

Создайте объект групповой политики и свяжите его с самым верхним подразделением, имеющим учетные записи рабочих станций. Затем настройте параметры групп с ограниченным доступом, чтобы добавить «Администраторов рабочих станций» в локальную группу «Администраторы» (или другое имя в вашем регионе).

Практическое руководство: использование групп с ограниченным доступом

Если группы с ограниченным доступом слишком строгие или вы не можете использовать клиентские расширения групповой политики, вы можете использовать сценарий VBScript, назначенный в качестве сценария запуска компьютера GPO, связанного с соответствующими подразделениями.

Видеть KB555026.