Potřebujete centrálně a jednoduše udělat z nějakých doménových uživatelů lokální správce na několika stanicích? Překvapivě se o tom moc neví, tak to tu alespoň zrychleně zdokumentuju. Použije se na to technologie Restricted Groups, která je ve Windows již od verze Windows 2000 a kdoví, jestli ne ještě déle.
Co je cílem? Máme nějaké doménové uživatele. Oni pracují na nějakých stanicích, kde mají mít lokální správcovská oprávnění. Mají být tedy členy pouze lokálních Administrators. Samozřejmě bychom z nich mohli udělat rovnou doménové administrátory, ale to je cesta do pekla. Oni přitom mohou být jen správci několika počítačů, které si mohou ničit, jak se jim bude chtít.
Jak toho dosáhnout centrálně? Pomocí Group Policy a Restricted Groups.
Nejprve pro ně založte v Active Directory skupinu, v mém případě je to WKS Admins.
Dále spustíte konzoli Group Policy Management (GPMC). A nad organizační jednotkou s příslušnými počítači vytvoříme nový Group Policy Object (GPO). Nedělejte to na úrovni domény, protože tak byste z nich udělali rovnou i doménové administrátory, a to přece nechceme. Takže cílové počítače musí být ideálně v nějaké organizační jednotce (organizational unit) - samozřejmě by to šlo přefiltrovat taky pomocí skupin počítačů, nebo třeba pomocí WMI filtrů, ale to je složitější historie.
Pak kliknete pravým tlačítkem Edit na tomto GPO a rozbalíte Computer Configuration - Policies - Windows Settings - Security Settings - Restricted Groups. Na Restricted Groups potom pravým dáte Add group. a přidáte tam vaši doménovou skupinu - u mě WKS Admins.
Až ji tam máte, vlezete znovu do jejích vlastností a přidáte do políčka This group is member of právě lokální skupinu Administrators.
A je to.