Уважаемые коллеги !
Появилась необходимость "пользователю домена"
при входе в домен - давать Локального администратора !
прочитал кучу статей !
делал все как тут
http://lzeit.blogspot.com/2008/09/forcing-domain-admins-to-be-local.html
Перепробывал кучу вариантов. Не работает не один !
Каких либо явных ошибок тоже не вижу !
Говорят можно как то батником добавлять ! а батник дописать в автологин компа !
У кого есть нормально работающая схема - поделитесь наработками, опытом...

вопрос решен


Данная возможность организована при помощи скрипта который имеет вид :

net localgroup Администраторы Domain\User /ADD - для добавления пользователя
net localgroup Администраторы Domain\User /DEL - для удаления пользователя
net localgroup Администраторы "Domain\Имя Группы" /ADD - для добавления группы (название содержит 2 слова)

Скрипт корректно работает Лишь в 866 (DOS) кодировке !!!
Так как он прописывается в автостарт компьютера, политику необходимо привязывать к контейнеру в котором
находятся машины домена (региона).

Не совсем верно, тут ты запихиваеш скрипт, а надо через полиси:
Входи в GPO и там restricted group, Создай группу (просто группу), в эту группу внеси своего доменного пользователя, а уж в самой группе, внутри, укажи что она является членом "BUILTIN\Administrators" и "Администраторы"
После gpupdate, можно /force (если не в терпёшь).
После этого, твой юзверь будет локальным админом в компах.
Спросиш почему на энглише?- в случае если у тебя винды в англ языке...
Поиском не стоит группы добавлять, а стоит их просто ручками вписать, но без ошибок.

проверял, но к сожалению не вышло !
вот и пришлось скриптом !
работает нормально !