Для сотрудников help desk или так званных “эникейщиков” иногда нужно делегировать права локальных администраторов, например при аудите.
Для этого можно использовать групповую политику, а именно Restricted Policy.
Предположим что у нас есть группа support, в которую входят сотрудники help desk.
Перейдем в редактор групповой политики, откроем Конфигурация компьютера => Политики => Конфигурация Windows => Параметры безопасности => Группы с ограниченным доступом и создадим такую политику:
.. применим ее к OU, в котором находятся ПК к которым нужен доступ, и убедимся что группа support появилась в локальных администраторах:
PS несмотря на то, что у меня КД “англоязычный” и добавить я могу только группу BUILTIN\Administartors политика будет работать и на “русскоязычных” ПК с группами “Администраторы”.
