¿Cómo crear un "administrador de dominio" limitado que no tiene acceso a los controladores de dominio?

Estoy buscando crear una cuenta similar a un administrador de dominio, pero sin acceso a los controladores de dominio. En otras palabras, esta cuenta tendrá derechos de administrador completos para cualquier máquina cliente en el dominio, podrá agregar máquinas al dominio, pero solo tendrá derechos de usuario limitados para los servidores.

Esta cuenta será utilizada por una persona en una función de soporte técnico para el usuario final. Deben tener acceso completo a las máquinas cliente para instalar controladores, aplicaciones, etc. pero no los quiero en los servidores.

Si bien probablemente podría organizar algo yo mismo a través de una política, probablemente será un desastre, así que pensé que debería preguntar: ¿Cuál es la forma correcta de hacerlo?

Hacemos algo similar a esto en nuestras oficinas remotas. Primero, cree un grupo para los psuedo-admins en el dominio. En AD, delegue el control a las unidades organizativas que pueden necesitar administrar (crear / eliminar cuentas, o tal vez simplemente restablecer contraseñas, o nada).

Luego, use la Política de grupo para agregar su grupo al grupo de administradores locales en las estaciones de trabajo y servidores usando Computadora \ Configuración de Windows \ Configuración de seguridad \ Grupos restringidos . No implemente esta política en la unidad organizativa de controladores de dominio ni en las unidades organizativas que contienen sus servidores.

Obviamente, esto depende de tener un AD configurado de manera que separe los sistemas cliente de los servidores.

A medida que avanzamos hacia entornos de Active Directory donde UAC es una característica estándar, también tendrá que tener eso en cuenta.

Solo de forma predeterminada, la cuenta de administrador local y los miembros de los administradores de dominio obtienen elevación automática y esto es necesario para muchas cosas (conectarse a recursos compartidos de administrador remotos es uno, aparentemente es un problema con la configuración de MSMQ y NLB también, estoy seguro de que hay otros) simplemente colocar un nuevo grupo en la cuenta de Administradores local puede no ser suficiente.

Para evitar esto, debe modificar la Política de seguridad "Control de cuentas de usuario: comportamiento de la solicitud de elevación para administradores en modo de aprobación de administrador" en Políticas locales, Configuración de seguridad local y establecer el valor en "Sin aviso" . Con suerte, Microsoft propondrá una forma más específica de hacer esto en el futuro (o arreglará los casos extremos en los que la solicitud de aprobación requerida se Ausente).

Prueba esto. Es la forma más fácil que he encontrado hasta ahora: http://technet.microsoft.com/en-us/library/cc756087(v=WS.10).aspx Esencialmente, haga clic derecho en la carpeta 'COMPUTADORAS' en AD y seleccione 'Delegar control'. Sigue al mago. Funciona en todas las versiones del servidor.

Configure un grupo de permisos, cree las computadoras que desea que pueda administrar a los miembros de ese grupo y dele el control total sobre las cosas que están en ese grupo.

Muy claro. Active Directory está hecho para ese tipo de problema. Simplemente cree una nueva carpeta de grupo y cambie la configuración de seguridad en las propiedades.