[HLT]

Проще всего - через групповую политику добавить группу Domain Users в локальную группу Administrators
Но как-то это слишком просто и обширно )

[HellFire_MZ]

Цитата HLT:

локальную группу Administrators »

Какую именно локальную группу вы имеете ввиду? на каждой конкретной машине? или built-in ?
Встроенные на сервере - в эту группу входят и Domain admins...

[Dirk Diggler]

Цитата HellFire_MZ:

же должны быть пользователями домена, но при этом на своем собственном компьютере должны делать что им захочется. »

Каждому такому компьютеру - по OU, на него - по своему ГПО, в этом ГПО настроить ограниченное членство в группе "Администраторы".

Цитата HellFire_MZ:

на каждой конкретной машине? или built-in ? »

Емнип, built-in Администраторы на КД и локальная одноименная группа имеют один и тот же SID, так что все зависит от того, к чему Вы ГПО прикрепите.

[monkkey]

Restricted Groups настраивайте.

Цитата HellFire_MZ:

Все пользователи кроме меня и еще нескольких остаются администраторами домена »

Сочувствую Вашей некомпетентности в вопросах администрирования сетей (домена в данном случае).

[HellFire_MZ]

Цитата monkkey:

Сочувствую Вашей неграмотности. »

Спасибо за ваше мнение.
Буду учиться дальше.

[HLT]

Цитата Dirk Diggler:

Каждому такому компьютеру - по OU, на него - по своему ГПО »

Или куча GPO с фильтрацией применения политики на отдельно взятый компьютер

Но имхо будет все-таки быстрее соорудить батник с кучей строк типа
psexec \\COMPUTERNAME net localgroup Administrators DOMAINNAME\username /ADD

psexec брать из набора утилит sysinternals

[HellFire_MZ]

Цитата HLT:

Но имхо будет все-таки быстрее соорудить батник с кучей строк типа psexec \\COMPUTERNAME net localgroup Administrators DOMAINNAME\username /ADD psexec брать из набора утилит sysinternals »

а если пользователи мигрируют.
У меня их 20 штук, машин где то 16.
Немерянное количество строчек же получится.
А хотя, ведь это единократный запуск - верно?
Действительно, будет удобно.
Спасибо!

[HellFire_MZ]

monkkey, попробовал Restricted Groups.
Делал вот так:
1. Создал OU.
2. Создал пользователя user члена группы Domain Users.
3. Создал в OU группу localadmins. (user стал членом этой группы - Primary Grpoup: Domain Users)
4. Добавил компьютер TEST в этот OU.
5. На OU поставил политику localadmins, в ней произвел следующее:
а) В Restricted Groups добавил руками группу Администраторы
б) В свойствах "Администраторов" выставил Группа является членом группы LocalAdmins.
6. выполнил gpupdate /force.
7. Перезагрузил компьютер, на котором требовалось произвести тестирование.
-------------------------------------------------------------------------------------------------------------
Итак, что я имею:
1. По сети не могу доменным админом зайти на текущий ПК.
2. Ни один из текущих админов, кроме локального Администратора этого ПК больше админом не является.

Подскажите, где я допустил ошибку.
Спасибо.

[GreenIce]

Так как вы прописали, что адинистратором компьютра является только группа locladmin, все остальные соответственно потеряли это право. Итого добавте в группу администраторов дополнительных членов аля Администратор и Domain Admin.