Есть права Domain Admins. Как узнать, откуда?
 

Добрый день.
Есть доменная сеть 2008 R2.
Компьютеры от ХР до 7.
Есть отдел компьютерной поддержки, занимаются поддержкой пользователей. Данные пользователи не включены в административные группы (кроме локальных)
Точно знаю, есть политика, дающая им право ввода компьютеров в домен.
И вот сегодня узнал, что у одного (я думаю и у всех в отделе) есть право создавать учётные данные и добавлять их в группу Domain Admins !!!
Вопрос: как найти, где это разрешение прописано?
RSOP покажет действующие политики (с названием GPO) на данного пользователя?
Если руками просматривать 10-ки политик - то как параметр этот называется?
Спасибо.

Это может влиять? т.к. на весь домен распространяется.

ADUC-вид-допонительные компоненты.
после чего корень домена-свойства-безопасность и изучайте =)
тот скрин что вы показали не даёт им таких прав, если эта политика не применяется на КД.

изучил, учётной записи данного сотрудника нет нигде...
вы не поверите, тот кто её создавал... он создал её в Default Domain Policy. А она действует на весь домен.
Получается, что даёт права. Следовательно, нужно её убрать с корня домена.
вопрос:

группа All_local_admin находится в пользователях. Выделено красным.
а компьютеры в "Ресурсы - Компьютеры" Выделено синим.

Как мне применить политику, чтобы All_local_admin были локальными администраторами на компьютерах из OU "Ресурсы - Компьютеры"?
Может группу переместить в ресурсы... но ведь пользователи этой группы находятся в своей OU...

ну и что? это не влияет ни на что.
так как Restricted Groups находятся в конфигурации компьютера, то вам нужно применять политику с этими настройками на OU где находтся компьютеры.
следовательно вам нужно прилинковать вашу политику с RG на OU "Ресурсы-Компьютеры", если хотите что группа All_Local_admin получила права локальных администраторов на всех компьютерах которые находтся в OU "Ресурсы-Компьютеры" и вложенных в него OU.
это, опять же, не имеет значения.