Есть задача определенных юзеров (например группу техподдержки) добавить в группу локальных админов, сохранив при этом уже существующих ее членов. Групповая политика через определение состава локальных групп дает не совсем правильный эффект - она замещает состав группы админов своим. В принципе можно было бы объединить всех, кто должен быть админами на определенных компах в группу и эти компы поместить в одно подразделение и на него навесить политику, но могут возникнуть исключения, что, например, в подразделении один юзер должен быть админом, а все остальные нет, тогда получается, нужно для каждого компа подразделение создавать? Как тут быть?

групповой политикой в логон скрипт _компьютера_

net localgroup Administrators /add domain\group

Хм. А разве логон скрипт не с правами юзера исполняется? Насколько я понимаю, у юзера добавление в админы не пройдет...

Логон скрипт компьютера исполняется от system.
А так как выше было указано, что
логон скрипт _компьютера_ »
то проблемм с его запуском не должно быть. Он отработает корректно.

Логон скрипт компьютера исполняется от system. »

точно точно )

Хм. Получается на каждый комп по скрипту? У меня их тыщи полторы, не меньше. Я погрязну в написании этих скриптов... Лучше бы через политику. Неужели Microsoft не предусмотрела такой возможности?

Скрипт надо положить в объект групповой политики и навесить на компьютер. Дальше Сделать OU и на эту OU навесить линк объекта групповой политики(грубо говоря примени политику для конкретного OU). В этом OU должны быть те компы на которыех надо выполнить скрипт. Все.
HLT тебе написал сам скрипт, для любой машины ево можно применять.

если проще, то вот так :
"default Domain Policy"--> "Computer configuration" --> "scripts (startup/shutdown)" батникчек содержания "%systemroot%\system32\net localgroup administrators domain\local_admin /add" ... »