[WindowsNT]

Как это реализовано у меня:

- Для техподдержки созданы по две учётные записи на человека, обычная и привилегированная со смарт-картой
- Существует группа AD Computer Account Managers %CompanyName%, в неё входят привилегированные УЗ
- Существует контейнер Company\Computers\ с департаментами. Там все компьютеры.
- Указанной группе делегированы полномочия на создание и управление УЗ компьютеров в указанном контейнере

Когда сотрудник техподдержки намерен ввести рабочую станцию в домен:
- он на своём компьютере заходит привилегированной УЗ, запускает ADUC
- в нужном контейнере предсоздаёт УЗ компьютёра и указывает право на введение в домен своей обычной УЗ
- идёт на новую рабочую станцию, логонится локальным админом, вводит в домен, указывает свою стандартную УЗ