Есть контроллер домена и вспомогалтельный кд, который расположен в филиале. Появилась необходимость дать права как бы локального администратора на вспомогательный котроллер, но не права доменного админа. Есть встроенная группа - Server Operators, но опять же, права будут распространяться и на основной контроллер. У кого есть идеи как сделать "локального админа" на втором DC?

создайте локального пользователя на дополнительном КД и добавьте в необходимую группу

Попробуйте пойти другим путем: какими именно правами должен обладать этот "локальный админ КД"?

оздайте локального пользователя на дополнительном КД »
на контроллерах домена нету локальных пользователей.

Если вам нужно, чтобы он только мог перезагружать и т.д. контроллер домена есть группа Server operators. Достаточно внести этого малчыка в это группу.
Если же вы ему хотите разрешить добавлять пользователей только в каком то определенном подразделении или еще что то править а AD читайте про делегирование.

на контроллерах домена нету локальных пользователей. »

+1 :)

Если вам нужно, чтобы он только мог перезагружать и т.д. контроллер домена есть группа Server operators. Достаточно внести этого малчыка в это группу.
Если же вы ему хотите разрешить добавлять пользователей только в каком то определенном подразделении или еще что то править а AD читайте про делегирование. »

Вопрос с AD не стоит.
Нужно что бы человек мог ставить/сносить софт, менять какие то локальные настройки, управлять шарами, ну короче всё, что может локальный админ на обычной машине.
И опять же Server operators распространяется на весь домен, как я уже написал. Не хочется пускать человека на основной DC.

на контроллерах домена нету локальных пользователей »
что то я по КД пропустил :read:

podbot, есть группы Domain Admins, Schema Admins - в них указывают администраторов домена и прочего.
Внесение в группу "Администраторы" сделает человека просто админом компа, но не домена.

Внесение в группу "Администраторы" сделает человека просто админом компа, но не домена. »

Если вы говорите про Built-In группу, то вот такой там комент - "Administrators have complete and unrestricted access to the computer/domain", т.е. права действуют на весь домен, и пользователь получет возможность управления всей АД, что и было проверено на практике пол часа назад. :( В моём случае права должны распространяться только на один из контроллеров, и не распространяться на АД.

В этом случаи вам придется создать отдельную групповую политику, привязанную к контроллеру домена. И в этой групповой политике изменить параметр Конфигурация компьютера\Конфигурация Windows\Параметры безопасности\Группы с ограниченным доступом, т.е. туда добавить вашего супер пользователя.

Рекомендую к прочтению - http://technet.microsoft.com/ru-ru/library/cc785631.aspx.

Советую тренироваться на виртуальных машинах т.к. есть нюансы.

Просто добавь его в группу "Администраторы домена"!

В этом случаи вам придется создать отдельную групповую политику, привязанную к контроллеру домена. »

спасибо, так и думал, что надо копать в этом направлении, кстати, что нибудь ужасное произойдёт, если переметсить один из DC в отдельную OU? ну соответственно привязать к ней свою доменную ГП №2?

Не переносите домен контроллер из подразделения Domain controllers на это подразделение завязана политика Default domain controllers polisy. Создайте внутри этого подразделения свое и перетащите туда контроллер домена. И я уже писал - тренируйтесь на "кошках".