Люди чет не много запутался. Мне нужно для установки программы на локальных компьютерах (а нужны права локального админа) создать соответствующего пользователя в АД. Вопрос в какую группу его включить?

Diesel315, а локальный админ чем не угодил? Или я что-то недопонял=)

Все пользователи локальные это-опытные пользователи. Установка софта будет производиться из шары по сети по следующей схеме:ррр.exe/ПКМ/запуск от имени-домен/имяпользователя/ОК.
Нет я конечно могу указать там доменного админа (он имеет права локального админа на машинах), но мне нужно временно создать другого доменного пользователя с правами локального админа. Но при этом не хотелось бы включать его в группу Админы домена

А что мешает доменных пользователей внести в группу админы на локальных машинах?

Все пользователи локальные это-опытные пользователи. »
значит у них уже есть право на установку.
запуск от имени-домен/имяпользователя/ОК. »
а зачем от имени пользователя? если сами имеют права на установку.

А что мешает доменных пользователей внести в группу админы на локальных машинах? »
А я что спросил?
создать соответствующего пользователя в АД. Вопрос в какую группу его включить »
Под вопросом в какую группу его включить я имел ввиду в какую группу в AD его в ключить. Не буду же я бегать по компам и вручную прописывать в группу Администраторы нужного мне пользователя.
Все пользователи локальные это-опытные пользователи. »
значит у них уже есть право на установку. »
Ничего подобного доменные пользователи с локальными правами опытные пользователи не имеют право на установку. Проверял не запускаеться, пишет нужны права админа локального. А по вашему зачем в ЛВС никому не дают (ну как правило) права локального админа, а переводят всех как минимум на опытных-чтобы вирусы не распространялись и юзеры не могли устанавливать различное ПО.

Вообщем вопрос решился с помощью restricted groups. http://zona.su/2009/01/restricted-groups-remote-desktop.html

А я что спросил? »
Надо было спрашивать как с помощью политик внести ад пользователей в локальную группу Администраторы.

Ничего подобного доменные пользователи с локальными правами опытные пользователи не имеют право на установку. »
странно, у меня доменные пользователи, входящую в локальную группу "опытные пользователи" спокойно ставят программы.
После настройки политик и получения доступа через Remote Desktop, эйфория зачастую быстро заканчивается, т.к. для подключения к удаленному рабочему столу, пользователь должен быть Domain Admins и\или в группе локальных администраторов на станции
Чушь. Я для того чтобы пользователи подключались ко мне по RDP (у меня сервер ОС) добавляю их лишь в локальную группу - пользователи удалённого рабочего стола.
http://zona.su/2009/01/restricted-gr...e-desktop.html »
на сколько я понял - это статья как сделать простого пользователя лок админом, когда он входит по RDP, при этом если он локально (интерактивно) зайдёт в систему - лок админом не будет.

ладно, решили - пусть так.
для установки программ используется отдельная учётка для авторизации на сетевом ресурсе... странных подход...

странно, у меня доменные пользователи, входящую в локальную группу "опытные пользователи" спокойно ставят программы. »
Интересно конечно, а можно вопрос они имеют право записывать файл в корень диска (имеется ввиду именно файл а не папку), если имеют, то какая-то у вас странная группа опытные пользователи.
Чушь. Я для того чтобы пользователи подключались ко мне по RDP (у меня сервер ОС) добавляю их лишь в локальную группу - пользователи удалённого рабочего стола. »
Ну не совсем чушь, просто автор статьи не указал ваш способ, я в принципе тоже делаю как вы.
на сколько я понял - это статья как сделать простого пользователя лок админом, когда он входит по RDP, при этом если он локально (интерактивно) зайдёт в систему - лок админом не будет. »
Нет вы помойму запутались, если даже он зайдет локально (интерактивно) он все же будет локальным админом, потому что он входит в локальную группу Администраторы. То что это решение использовали для захода по RDP, не означает что это будет работать только так, в этой статье просто указали один из способов применения restricted groups.
Для установки программ используется отдельная учётка для авторизации на сетевом ресурсе... странных подход... »
Извините а что тут странного, предложите ваш способ дать права установить прогу приезжему человеку, если на компах все под опытными пользователями, довать ему логин пароль с правами админа домена не вариант, он может зайти по РДП на сервер, а так все гуд. Есть прога на шаре он её устанавливает от имени учетки которая имеет локально права админа.

предложите ваш способ дать права установить прогу приезжему человеку »
у нас все пользователи работают под доменными учётками. которые настраиваются дополнительно на локальных компах.
приезжие - к примеру аудиторы.
а можно вопрос они имеют право записывать файл в корень диска (имеется ввиду именно файл а не папку) »
не имеют :) но они туда программы и не ставят. Права на запись на C:\Program Files опытные имеют :)

просто автор статьи не указал ваш способ »
в статье автор утверждал (я думаю именно "утверждал", этого мы не узнаем), что только админы могу входить по RDP...

у нас все пользователи работают под доменными учётками. которые настраиваются дополнительно на локальных компах.
приезжие - к примеру аудиторы. »
Ну у меня тоже все работают под доменными учетками. Под которые настраиваются дополнительно на локальных компах вы имеете ввиду добавление их в различные локальные группы: Администраторы, Опытные пользователи, Пользователи и т.д. ?
Про приезжие - к примеру аудиторы не понял поясните пожалуйста.

вы имеете ввиду добавление их в различные локальные группы: Администраторы, Опытные пользователи, Пользователи и т.д. ? »
да.
нужно мне чтобы пользователь смог сам установить программу - бац его в доменную группу "Опытные пользователи".
А эта группа "является" фильтром в групповой политике, с помощью которой члены группы становятся локальными "опытными пользователями".
вы скажете - так он будет на всех компах опытным.
ответ: только на тех, на которые сможет зайти, а это решается в свойствах учётки Log On, где указаны все сервера, и его локальная машина :)
Про приезжие - к примеру аудиторы не понял поясните пожалуйста. »
Мы своим приезжим Аудиторам создаём учётки в домене, и выделяем для них свои компьютеры. Я Аудиторов как пример приезжих привёл.

нужно мне чтобы пользователь смог сам установить программу - бац его в доменную группу "Опытные пользователи". »
Извиняюсь а где вы в АД нашли "Опытные пользователи" у меня такого нет.
А эта группа "является" фильтром в групповой политике, с помощью которой члены группы становятся локальными "опытными пользователями". »
Хм а это как реализуется, что-то не знаю, буду признателен если опишите более подробно (или скрин).
Все же интересно почему у вас доменный пользователь с правами локального "Опытного пользователя" имеет право устанавливать программы. А доменный статус у учетки какой- пользователь домена?

Извиняюсь а где вы в АД нашли "Опытные пользователи" у меня такого нет. »
создал сам :) название одинаковое, только в начале приставка domain\name_group.
А доменный статус у учетки какой- пользователь домена? »
"пользователь домена" по умолчанию прописывается на машинах домена в локальных группах "пользователь".
Хм а это как реализуется, что-то не знаю, буду признателен если опишите более подробно (или скрин) »
ну собственно через те же Restricted Group :)
только у меня не "опытные пользователи" (это я к нашему примеру привел), а локальные администраторы.
http://www.exonix.ru/foto/alllocadm.jpg
К сожалению делал не я, по этому сделано в Default Policy, и поэтому фильтр в моем случае - лишне использовать...
вот члены группы All_Local_Admin являются локальными админами на всех компах. Лок админов дали мы тех.поддержке, им надо.
Выше настройка - кто может неограниченно вводить в домен компьютеры.