еще один вариант (по мне более удобный):
Почти тоже пожно делать через ГП, но сценариями на автозагрузку
Через АД пользователи и компьютеры в требуемом ОП создать новый ОГП, зайти в его настройки, далее параметры компьютера, параметры безопасности, сценарии - автозагрузка.
через Обзор выйти на каталог для сценириев (он будет примерно такого вида):
\\dc_server\sysvol\<youdomain.local>\policy\{GUID_ОГП}\machine\startup
и сначала скопировать в него файлик такого вида: add2admin.bat (и только потом выбрать его название):
net localgroup Administrators "domain\My group" /add *
или тут нужно написать Администраторы , если ОС локализована, к тому же нужно понимать, что возможно произойдет конфликт кодировок, тк у ОС 1251, а в командной строке - не всегда такая же (поэтому сценарии могут не отрабатывать правильно), поэтому можно создать этот файл из досовского редактора , подойдет встроенный edit.com или сделать, например так в командной строке:
echo net localgroup Администраторы "domain\моя группа" /add > d:\new.bat
* * где new.bat - будущий сценарий для загрузки в ОГП
при этом к лок администраторам на тех станциях ,на которые данный скрипт будет распространяться - будет добавлена новая группа
(без изменений в текущем списке этой группе- что важно и отлично от *способа работы с группам иограниченного членства - в котором кто-бы ни был в лок админах - после работы ГП с ограничением членства в группе - ОСТАНЕТСЯ только указанные в ее свойствах учетки - те трудно объединить несколько таких ГП в иерархии уровней ОП)
Те создавая разные ОУ и делая на них разные ГП ( с разными значениями групп в сценариях - domain\моя группа1, domain\моя группа2, *и тп) - можно задать разным группам разные права на компьютеры ( станции и сервера) - Администраторов, Опытных пользователей и тп.
Добавлено:
вот тут вспомнил, что подобная
тему уже обсуждалась ( многие вопросы дублируются, но мы объединим только лучшее)
