Ситуация такая: есть домен Active directory, в нем куча компов (winXP), на которые периодически приходится ставить софты. Для этого в домене создана учетная запись с соответствующими правами.
Далее все делается через runas. Так вот, на машинах в выпадающем списке пользователей есть только локальные юзеры и, почему-то, один доменный (иногда). При этом сразу в списке нет никого, но если набирать имя локального компа, то автодополнением показываются локальные пользователи, а если речь идет о домене, то не показывается вообще ничего. К тому же около поля для ввода пользователя есть подозрительная неактивная кнопка, с помощью которой должен открываться диалог поиска пользователей, но она тоже не работает. В итоге каждый раз приходится набирать username@domain, а хотелось бы, чтобы нужный пользователь выбирался из выпадающего списка, хотя бы после того, как он один раз так залогинился. При этом не хотелось бы в списке видеть всех пользователей домена.

Вопрос знатокам: как это реализовать, желательно централизованно, например через групповую политику.

Restricted Groups - добавить в локальные группы "Администраторы" администраторов домена, встроенного Администратора, нужного пользователя.

monkkey, Принцип ясен - если нужно, чтобы пользователь был в списке, он должен быть в группе администраторов локальной машины. Неясно как через Restricted Groups это сделать. Там по идее нужно добавить группу, включающую доменных админов и сделать ее членом групп client_computer_name\администраторы для каждого компа, где это нужно. Проблема в том, что при выборе группы для поля member of выбрать можно только доменные группы, либо группы того контроллера домена, куда в данный момент залогинен админ. К тому же такой вариант не будет работать для новых компов в домене.

при выборе группы для поля member of выбрать можно только доменные группы

1. Клиентская машина должна быть не ниже XP SP2;
2. Запустить оснастку редактора политики на контроллере;
3. В "Restricted Groups" добавить Built-in группу "Administrators";
4. В "Member of this groups" добавить необходимую доменную группу/пользователя.

amel27, Да, так вроде работает, но такой метод выкидывает из админской группы всех остальных. А часть пользователей имеет админские права.

В итоге пришлось включать МОЗГ :)

После непродолжительных RTFM и STFW и продолжительной отладки получилось примерно следующее:

@echo off
REM В этой переменной объявляем название скрипта
set script_name=runas2

REM В этой переменной объявляем имя доменного пользователя,
REM которого будем добавлять в локальную группу клиентского ПК
set admin_user_name=admin

REM В этой переменной объявляем имя группы на клиентском ПК, в которую
REM будем добавлять пользователя. Это нужно чтобы скрипт работал как на русской,
REM так и на английской винде.
set local_adm_group=администраторы

REM эту штуку нужно указывать, так как на момент запуска скрипта винда ничего не знает о своей
REM принадлежности к домену (т.е. одноименная виндовая переменная еще не определена)
set userdomain=имя_домена

title %script_name% script

echo this will add domain admin to local admin group


REM Проверяем наличие папки для складирования файлов-флагов
if not exist %windir%\scriptdir md %windir%\scriptdir

REM Прячем ее от любопытных (необязательно)
attrib +H %windir%\scriptdir

REM Проверяем наличие файла-флага для нашего скрипта
if exist %windir%\scriptdir\%script_name%_script_exec.flag goto :eof

REM Когда убедились, что скрипт не выполнялся ранее делаем свое темное дело :]
net localgroup %local_adm_group% %userdomain%\%admin_user_name% /add

REM Создаем файл-флаг и пишем туда дату и время выполнения скрипта
echo %date% %time% %username% >%windir%\scriptdir\%script_name%_script_exec.flag

REM Все!
echo done.


Кидается это в startup scripts через ту же групповую политику.