Я ищу создать учетную запись, похожую на администратора домена, но без доступа к контроллерам домена. Другими словами, эта учетная запись будет иметь полные права администратора для любого клиентского компьютера в домене, иметь возможность добавлять компьютеры в домен, но иметь только ограниченные права пользователя на серверы.
Эта учетная запись будет использоваться лицом, выполняющим роль технической поддержки конечного пользователя. Они должны иметь полный доступ к клиентским машинам для установки драйверов, приложений и т. Д., Но я не хочу, чтобы они были на серверах.
Хотя я, возможно, сам мог бы что-то собрать вместе с помощью политики, это, вероятно, будет грязно, поэтому я решил, что мне следует спросить: как правильно поступить?
источник