[monkkey]

Restricted Groups - добавить в локальные группы "Администраторы" администраторов домена, встроенного Администратора, нужного пользователя.

[gHosTerr]

monkkey, Принцип ясен - если нужно, чтобы пользователь был в списке, он должен быть в группе администраторов локальной машины. Неясно как через Restricted Groups это сделать. Там по идее нужно добавить группу, включающую доменных админов и сделать ее членом групп client_computer_name\администраторы для каждого компа, где это нужно. Проблема в том, что при выборе группы для поля member of выбрать можно только доменные группы, либо группы того контроллера домена, куда в данный момент залогинен админ. К тому же такой вариант не будет работать для новых компов в домене.

[amel27]

Цитата gHosTerr:

при выборе группы для поля member of выбрать можно только доменные группы

1. Клиентская машина должна быть не ниже XP SP2;
2. Запустить оснастку редактора политики на контроллере;
3. В "Restricted Groups" добавить Built-in группу "Administrators";
4. В "Member of this groups" добавить необходимую доменную группу/пользователя.

[gHosTerr]

amel27, Да, так вроде работает, но такой метод выкидывает из админской группы всех остальных. А часть пользователей имеет админские права.

В итоге пришлось включать МОЗГ

После непродолжительных RTFM и STFW и продолжительной отладки получилось примерно следующее:

Код:

 
@echo off
REM         В этой переменной объявляем название скрипта
set script_name=runas2

REM         В этой переменной объявляем имя доменного пользователя,
REM         которого будем добавлять в локальную группу клиентского ПК
set admin_user_name=admin

REM         В этой переменной объявляем имя группы на клиентском ПК, в которую
REM         будем добавлять пользователя. Это нужно чтобы скрипт работал как на русской, 
REM         так и на английской винде.
set local_adm_group=администраторы

REM эту штуку нужно указывать, так как на момент запуска скрипта винда ничего не знает о своей 
REM принадлежности к домену (т.е. одноименная виндовая переменная еще не определена)
set userdomain=имя_домена

title %script_name% script

echo this will add domain admin to local admin group


REM          Проверяем наличие папки для складирования файлов-флагов
if not exist %windir%\scriptdir md %windir%\scriptdir

REM          Прячем ее от любопытных (необязательно)
attrib +H %windir%\scriptdir

REM          Проверяем наличие файла-флага для нашего скрипта
if exist %windir%\scriptdir\%script_name%_script_exec.flag goto :eof

REM          Когда убедились, что скрипт не выполнялся ранее делаем свое темное дело :]
net localgroup %local_adm_group% %userdomain%\%admin_user_name% /add

REM          Создаем файл-флаг и пишем туда дату и время выполнения скрипта
echo %date% %time% %username% >%windir%\scriptdir\%script_name%_script_exec.flag

REM          Все!
echo done.

Кидается это в startup scripts через ту же групповую политику.