Есть тестовый домен. Есть 2 учетки: LocalAdmin и User. LocalAdmin состоит в группе Localadmins. В GPO так же создал Loacladmin GPO. там же в "Группы с ограниченным доступом" добавил группу Loacladmins, а внизу "Эта группа входит в:" добавил группу "Администраторы". Вроде бы все по мануалу. Все правильно.

Дальше. захожу на тестовой машине под учеткой LocalAdmin. UAC включен. Пытаюсь что-то выполнить с правами админа. Идет запрос на повышение прав. Вбиваю данные от Loacladmin но система не принимает. Почему? Ведь по идее Localadmin состоит теперь у нас в локальных админах. Что-то с правами админа можно выполнить лишь в том случае, если пользователя LocalAdmin добавлю в группу Domain Admins. А это не подходит. Если его добавить в группу Администраторы, то тоже не проходит повышение прав.

А теперь что мне именно нужно. Будет группа пользователей с урезанными правами в группе Users. Будет 2-3 учетки техподдержки, которые будут локальными админами (состоять в группе LocalAdmins), у которых должна быть возможность на месте решать те или иные проблемы используя свои учетки (ставить софт, проверять настройки сети, запускать CMD от админа и т.д.). UAC при этом должен быть включен. А при запросе на повышение прав они вбивали бы свои учетки.

3 день перечитываю до дыр мануалы. Вроде все делаю как описано. Но UAC не пускает. Пропускает только учетку Administrator.

Еще один способ это через "Конфигурация компьютера" "Параметры панели управления" "Локальные пользователи и группы" добавлять наших Localadmin. Но как я понял это только для систем Windows 7. А в парке еще остались XP. Поэтому этот метод не подойдет.

Вопрос. Что не так я делаю в GPO, что UAC меня не пропускает. Отключение UAC не вариант.

Если его добавить в группу Администраторы, то тоже не проходит повышение прав. »
Это вы его в локальную группу машины добавляете или нет?
1. покажите отчет (вкладка "параметры") объекта групповой политики.
2. удостоверьтесь что политика применена на компьютере (rsop.msc или gpresult, в rsop удобно смортреть ошибки применения, если таковые имеются).

1. Прикрепил скрин
2. Запустил rsop. В разделе Группы с ограниченными правами действительно ошибка. В Winlogon есть строки с ошибками

----Настройка членства в группах...
Настройка AD\Domain Users.
Ошибка 1332: Сопоставление между именами пользователей и идентификаторами безопасности не было произведено.
Не удалось найти Administrators.
Не удалось найти Administrators.
Настройка AD\Local Admin.

и
Шаблоны в GPO \\ad.xx.xx\sysvol\ad.xx.xx\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\Machine не определены.

Группа называется "Администраторы", соответственно в поле "входит в группы" нужно вписать: "BUILTIN\Администраторы" - точно так, но без кавычек.

nokogerra
А разве проверка не по SID идет?

Вы попробовали так, как я указал?

Да. Добавил именно BUILTIN\Администраторы. Далее gpupdate /force. Перезагрузка. В логе теперь ошибка

----Настройка членства в группах...
Настройка *s-1-5-21-3427299382-2606489690-3999715454-1110.
Ошибка 1332: Сопоставление между именами пользователей и идентификаторами безопасности не было произведено.
Не обнаружено системное сопоставление для *s-1-5-21-3427299382-2606489690-3999715454-1110.

Обратите внимание на kb microsoft: https://support.microsoft.com/kb/2000705?wa=wsignin1.0, http://support.microsoft.com/kb/974639, http://support.microsoft.com/kb/324383. Разумеется, что перед любыми манипуляциями с объектами групповых политик, нужно сделать резервную копию оных.

Сделал иначе. В Группах с ограниченным доступом добавил "Администраторы". А уже в них в графе "Члены этой группы" добавил "Localadmins".
Да, знаю, что так удаляются все локальные админы, кроме родной учетки Админа. Но в принципе мне это подходит, так как других админов, кроме тех, что в группе LocalAdmins, у меня не будет.

А так по ссылкам прошелся. Мне не помогли. KB974639 не поставился. Как я понял он уже в SP1 уже внедрен. А ошибка получается выскакивает потому что у меня на локальной машине нет/не создалась группа Local admins?

Убедитесь, что у сотрудников техподдержки имеются две учётные записи (стандартная и привилегированная), затем выключайте UAC везде.
Обучите их все ежедневные задачи выполнять от лица стандартной учётной записи, привилегированную применять по доказанной необходимости.

WindowsNT
Все же UAC мне кажется нужен. А учетка будет использоваться как раз при необходимости. Установка софта в единичных случаях (когда нет смысла это делать через GPO) например.