Учётная запись для техподдержки внешних сервисов
 

Есть несколько серверов 2008R2, все в домене, на каждом из них - свой сервис. Как мне создать учетную запись для техподдержки каждого из этих сервисов, чтобы они имели админские права на конкретном компьютере и никаких прав на других?

Назначить конкретного пользователя на конкретном ПК локальным администратором, а в домене он будет обычным пользователем.

Вот я и спросил этой темой - как так сделать?)

Капитан Очевидность предлагает добавить этого доменного пользователя в группу администраторов на этом компьютере.
1. Открыть "Управление компьютером"
2. Переключить управление на указанный компьютер.
3. Добавить пользователя в группу адмиинстраторов.
4. PROFIT!!!
Как то так.

Хмм, я как-то об этом вообще не подумал, мне локальные пользователи (ну и группы) и доменные казались непересекающимися сущностями... А оно вот как всё просто :D

Они прекрасно пересекаются. И даже входят друг в друга. Как сами по себе, так и по вашей воле :)

Администраторы домена могут администрировать все компьютеры домена, потому что на каждом компьютере при регистрации компьютера в домене доменная группа "Администраторы домена" была автоматически добавлена в локальную группу "Администраторы" (достаточно просто открыть группу и убедиться в этом).
Точно также группы "Пользователи домена" и "Гости домена" были автоматически добавлены в соответствующие локальные группы.

И вы сами можете с помощью групп делать самые разные вещи.
Как сделать одного пользователя домена администратором конкретного компьютера, я уже написал.
Но если у вас много таких пользователей, то прописывать каждого на каждом компьютере будет .... затруднительно.
Однако вы можете создать доменную группу пользователей "Мальчики по вызову", и добавить в неё рядовых специалистов техподдержки (которым права доменных администраторов будет слишком жирно будет), а затем эту группу добавить в группу локальных администраторов.

А если компьютеров слишком много, то вы можете создать групповую политику, где в параметрах безопасности компьютера будет указано, что группа "Мальчики по вызову" является локальными администраторами - это добавит доменную группу автоматически.

Самое интересное - если у вас разные специалисты техподдержки обслуживают компьютеры разных отделов, то вы можете сделать следующее:
1. создать несколько групп безопасности для специалистов техподдержки, и несколько групповых политик, каждая из которых добавит в администраторы свою группу пользователей.
2. создать несколько групп безопасности для компьютеров (серверов) и для каждой групповой политики в параметрах ACL заменить права чтения и применения с группы "Прошедшие проверку" на соответствующую группу компьютеров. Теперь достаточно добавить компьютер отдела в группу отдела, и его смогут администрировать только специалисты поддержки, назначенные этому отделу

Именно так и сделал, спасибо.