Назначьте вход в качестве локального администратора для учетной записи домена
Что я хотел бы сделать, так это предоставить разрешение учетной записи домена для входа на любой сервер / рабочую станцию и быть локальным администратором с необходимостью добавления этой учетной записи в группу администраторов домена?
Эта учетная запись должна только иметь возможность читать размеры папок во всех папках на рабочей станции / сервере.
Есть ли для этого GPO?
Вы можете использовать настройки групповой политики, чтобы обновить любую локальную группу, чтобы она содержала тех пользователей, которых вы хотите, включая группу локальных администраторов.
Да, это определенно возможно с GPO.
Однако вам нужно быть осторожным, чтобы объект групповой политики, который делает пользователя локальным администратором на каждой машине, также не применяется к контроллерам домена, потому что локальный администратор на DC является администратором домена.
Все зависит от вашей конкретной структуры OU, где находятся учетные записи компьютеров, от того, как вы настраиваете «Принудительное» или «Блокировать наследование» и / или фильтры WMI. Есть слишком много разных способов сделать это, чтобы по-настоящему их все перебрать.
Например, распространенным сценарием является выполнение чего-то вроде применения объекта групповой политики к подразделению «Учет», что делает всех членов «администраторов отдела бухгалтерского учета» локальными администраторами всех учетных записей компьютеров, находящихся в подразделении учета.
отличные инструкции здесь: http://www.windowsecurity.com/articles/Using-Restricted-Groups.html