Надо разделить обязанности. Я - администрирую сервера (Windows 2003 Server), второй человек присматривает за компьютерами пользователей. Сеть с доменами.
Как сделать так, чтобы этот второй человек ничего не мог делать с серверами, но при этом имел все права на компьютеры пользователей, как Domain Admin?

Делаешь его обычным пользователем, на компы делаешь групповую политику, используешь Restricted groups, где для группы Администраторы, указываешь только Domain Admins и учетку этого пользователя.

MegabizonДелаешь его обычным пользователем, на компы делаешь групповую политику, используешь Restricted groups, где для группы Администраторы, указываешь только Domain Admins и учетку этого пользователя. насколько я понимаю, этот метод не позволит данному пользователю заходить на административные клиентские шары (типа \\usercomp\c$) ?

Позволит, потому что этот "второй" будет на каждом пользовательском компе локальным админом

Делаешь его обычным пользователем, на компы делаешь групповую политику, используешь Restricted groups, где для группы Администраторы, указываешь только Domain Admins и учетку этого пользователя.

Извиняюсь за глупые вопросы, но не хочется чего нибудь испортить.
Открываю групповую политику по умолчанию->Computer Configuration->Windows Settings->Security Settings->Restricted Groups. Там пусто. Добавляю группу Administrators и в нее учетку пользователя. Я так все понял?
Если да, то пользователь разве не будет иметь права администратора на сервера?

После проделанного выше он теперь и серверные диски может подключать \\server\c$ А не хотелось бы :(

grav
Смотря для какой ГП это проделывать.

monkkeyСмотря для какой ГП это проделывать
Я делал для политики домена по умолчанию (Default Domain Policy)
Видимо надо компьютеры по отдельным юнитам разбросать и политики отдельные ставить на каждый юнит?

Желательно. Контроллеры домена и так под политикой Default Domain Controller Policy, но лучше не трогать дефолтные политики вообще, а создавать свои, потом уже линковать к OU

После добавления в Restricted groups группы Администраторы и применения групповой политики из группы локальных админов на локальных компьютерах удаляются все пользователи. А некоторым пользователям требуется локальные администраторские права. Что делать?

Во вы загоняетесь!
Сделать Локальным администраторм всех машин именно этого человека. И все.
Можно его хоть домен юзером сделать. просто внести его учетку в локальных админов компьюреров компании