Windows 2003 Домен. Лучший способ присвоить полномочия технической поддержке
Править: Давайте сделаем это немного по-другому, затем.
Принятие Вы используете версию Windows 2003 Пользователей Active Directory и Компьютеров:
В узле "Сохраненных запросов" наверху AD сделайте "Новое" / "Запрос".
Назовите запрос вообще, Вы хотели бы и предоставили бы описание, если Вы хотели бы. В определении запроса выберите OU выше учетных записей пользователей для "Корня запроса".
Нажмите "Define Query". В "Находят Общие Запросы" диалоговым окном, выбирают "Has a value" из выпадающего списка направо от подписи "Имени" на вкладке "Users". Нажмите "OK" и "OK" снова для определения запроса.
Выделите свой недавно созданный запрос и щелкните правой кнопкой и выберите "Refresh" (или нажмите F5), если запрос не заполняет правую панель.
Выделите пользователей на правой панели, щелкните правой кнопкой и выберите "Properties". Перейдите к вкладке "Account", нажмите левый флажок около "Пароля, Никогда Не Истекает", и оставьте флажок его правой стороне от него (который станет включенным после нажатия на левый флажок), пустой.
Если они испытают необходимость для поиска и устранения неисправностей рабочих станций, то им действительно будут нужны права локального администратора.
Ваш подход является правильным: используйте доменную группу (но это должен быть домен, глобальный, если Вы хотите еще вложить его в чем-нибудь), и поместите учетные записи пользователей в него; лучше не присваивать полномочия определенным учетным записям пользователей, группы существуют точно с этой целью.
О добавлении группы группе локальных администраторов на каждой рабочей станции: место не делает этого вручную :-)
Используйте любого простой сценарий запуска машины с командой net localgroup Administrators /add DOMAIN\YourGroup, или установка групповой политики Restricted Groups.
Создайте "Администраторский Домен" Рабочей станции Локальная ограниченная по объему группа. Поместите все рабочие станции в общую иерархию OU или тот же OU. Свяжите GPO с ограниченной установкой групп для группы admin для включения Администратора Рабочей станции только. Теперь, затем любые логические группы персонала в ту группу, у которой должен быть этот доступ. Вы, вероятно, хотели бы "Поддержку" и "Администраторов домена", вложенных в той группе.