Делегирование прав локальных администраторов

Для сотрудников help desk или так званных “эникейщиков” иногда нужно делегировать права локальных администраторов, например при аудите.

Для этого можно использовать групповую политику, а именно Restricted Policy.

Предположим что у нас есть группа support, в которую входят сотрудники help desk.

Перейдем в редактор групповой политики, откроем Конфигурация компьютера => Политики => Конфигурация Windows => Параметры безопасности => Группы с ограниченным доступом и создадим такую политику:

.. применим ее к OU, в котором находятся ПК к которым нужен доступ, и убедимся что группа support появилась в локальных администраторах:

 

PS несмотря на то, что у меня КД “англоязычный” и добавить я могу только группу BUILTIN\Administartors политика будет работать и на “русскоязычных” ПК с группами “Администраторы”.