Можно ли дать непривилегированному пользователю право на Run as administrator?
Есть домен 2012R2 с рабочими станциями Windows 7. Необходимо дать ограниченному количеству (1-2) непривилегированных пользователей возможность время от времени выполнения на своих компьютерах административных задач типа установки приложений или конфигурирования принтеров.
Давать им права админа на постоянно не позволяет совесть. Идеально было бы дать возможность запуска программ от имени специально выбранного административного аккаунта, но с запретом этому аккаунту логиниться на компьютер. Однако, политики типа Deny log on locally или Deny log on through Terminal Services не помогают - они запрещают и Run as administrator.
Может, есть какой-то вообще перпендикулярный подход? А то я зациклился на этом и больше ничего не вижу.
Получается - на компах нужно сделать локальных юзеров (не доменных) - локальных админов. И на запрос ввести их логин/пароль.
А потом имея эти лог/пасс юзеры поменяют права и на свои доменные учетки на локальных админов, даже если и логиниться не станут под локальными админскими учетками.