Разрешить пользователю домена устанавливать программы для пользователей

Question

[Владимир]

Есть пользователь домена, ему нужно разрешить устанавливать программы на компьютерах пользователей, но запретить управлять доменом (лазить в групповые политики, добавлять, удалять, менять пароли пользователям, вносить рабочие станции в домен, назначать пользователям группы)
Реально ли это? (DC и BDC — 2003R2)

Answer 1

[Danik10]

С помощью Group Policy внести определенного пользователя в список локальных администраторов на рабочих станциях.

Смотреть в сторону Restricted groups.

Comments

[Danik10]

Не успел добавить ссылку —
social.technet.microsoft.com/wiki/contents/articles/7833.how-to-make-a-domain-user-the-local-administrator-for-all-pcs.aspx

Есть один минус — при использовании Restricted groups проблемно назначить пользователя локальным администратором на одной конкретной машине, при использовании Restricted Group он будет Локальным админом на всех машинах, а включение в группу ЛА на самой рабочей станции будет перезаписано Групповой политикой. Выход — писать или искать готовый скрипт.

[Dal]

В Power user достаточно. И не такая уж великая проблема с добавлением на конкретные ПК через ГПО. Не обязательно будет перезаписано, можно сделать, чтобы было добавлено.

[Владимир]

А на BDC это можно сделать? Насколько я знаю, чтобы разрешить пользователю устанавливать программы на одном, конкретном компьютере достаточно зайти под локальным администратором на этом компьютере и ввести доменного пользователя в группу «Опытные пользователи», но беда в том, что на Резервном контроллере домена, равно как и на главном я не могу зайти под локальным администратором и не вижу списка локальных групп.
Вообще насколько это плохая затея, делать BDC терминальным сервером? Если нет другой машины, лучше работать только с DC или все же совместить BDC и сервер терминалов?

[Dal]

локальные группы ищите в АД в built-in group, там либо опытные либо операторы сервера либо администратором.
делать контроллер и терминальник на одном не рекомендуют, но если очень хочется, то очень внимательно.
после поднятия сервера до контроллера, локальный админ становится домен\администратор