делегирование прав доступа
 

Уважаемые коллеги !!!
Вот назрел один вопрос , который не могу корректно решить !
Следовательно прошу вашего совета !

Имеем:
Домен !
Есть регионы! Все в одном домене !
на каждом регионе свой системный администратор!
домен управляется из центрального офиса !

Задача:
Локальным админам в регионах, необходимо дать разрешение на выполнение следующих
действий:

1.Управлять принт-сервером
2.Добавлять (редактировать) пользователей и группы
3.Вводить машины в домен
4.Управлять доступом к сетевым шарам
5.При входе под своей учеткой на машину пользователя, иметь возможность устанавливать софт.

Условия:

Админ в регионе не должен состоять в группе Администраторы домена! У него должна быть строго
ограниченная учетная запись !!!

Просьба:
Штатное делегирование 2003 сервера к сожалению не решает
поставленных мною задач!
Буду благодарен за хороший совет, пример, мысль.

Ну, и добавьте нужных пользователей в группу "Локальные администраторы" на необходимых компьютерах с помощью Restricted Groups. Надеюсь, региональные компьютеры разделены по своим OU?
1. Включить в группу "Операторы сервера печати" или в "Безопасность" на каждом принтере.
2. Штатно.
3. 10 машин можно включать в домен любому пользователю, если больше - штатно.
4. Решается через Свойства общего ресурса.
5. См. начало поста.

Как это сделать политикой ? Есть мануал ?
Группа Операторы даеться только глоано на домен ! сверху корня! то есть админ одного региона сможет управлять
сервером печати ругого ! плохо !

про 10 машин знаю - не катит ! нужен другой метод более нормальный!
Через свойства общего ресурса - можно. знаю.

Идея написать просто отдельно политику для СА в которой ето все разрешенно! а потом просто на контейнер ее привязывать !
так как постоянно долбаться с группами и юзерами оч напряжно !