Мы делаем что-то подобное этому в наших удаленных офисах. Во-первых, создайте группу для psuedo-администраторов в домене. В AD управлении делегата к OU's они, возможно, должны справиться (создайте/удалите учетные записи или возможно просто измените пароли или ничто вообще).
Затем Групповая политика использования, чтобы добавить Вашу группу к группе локальных администраторов на рабочих станциях и серверах с помощью Computer\Windows Settings\Security Settings\Restricted Groups . Не развертывайте эту политику на Контроллерах домена OU или OUs, содержащий Ваши серверы.
Это, очевидно, зависит от конфигурирования AD способом для разделения клиентских систем от серверов.
Когда мы продвигаемся в среды Active Directory, где контроль учётных записей является стандартной функцией, необходимо будет также принять это во внимание также.
По умолчанию только учетная запись локального администратора и члены Администраторов домена получают автоматическое повышение, и это необходимо для многих вещей (соединяющийся с удаленными администраторскими долями, один, по-видимому, это - проблема с конфигурированием MSMQ и NLB также, я уверен, что существуют другие), просто размещение новой группы в учетную запись локальных администраторов не может быть достаточным.
Для обхождения этого необходимо изменить "Управление учетными записями пользователей: Поведение повышения запрашивает администраторов в Администраторском Режиме Одобрения" Политика безопасности под Локальными политиками, Локальными параметрами безопасности и установленный значение к "Никакая Подсказка" . Надо надеяться, Microsoft придумает более предназначенный способ сделать это в будущем (или зафиксирует пограничные случаи, где необходимая подсказка одобрения уходит в самовольную отлучку).
Попробуйте это. Это - самый легкий способ, которым я нашел до сих пор: http://technet.microsoft.com/en-us/library/cc756087 (v=WS.10) .aspx По существу, щелкните правой кнопкой по папке 'COMPUTERS' в AD и избранном 'Управлении Делегата'. Следуйте за мастером. Работы во всех серверных версиях.
Создайте группу полномочий, сделайте компьютеры, Вы хотите, чтобы он смог администраторским членам той группы и дал ему полный контроль над вещами, которые находятся в той группе.
Довольно простой. Active Directory на самом деле сделан для такой проблемы. Просто создайте новую папку группы и измените настройки безопасности под свойствами.