Я хочу створити обліковий запис, подібний до адміністратора домену, але без доступу до контролерів домену. Іншими словами, цей обліковий запис матиме повні права адміністратора на будь-якій клієнтській машині в домені, мати змогу додавати машини до домену, але матиме обмежені права користувачів на сервери.
Цей обліковий запис буде використовуватися особою в ролі технічної підтримки кінцевого користувача. Вони повинні мати повний доступ до клієнтських машин для встановлення драйверів, додатків тощо ..., але я не хочу їх на сервери.
Хоча я, мабуть, міг би щось скласти разом через політику, це, мабуть, буде безладно, тому я зрозумів, що слід запитати: який правильний шлях для цього?