如何创建一个无权访问域控制器的受限“域管理员”？

我正在寻找一个类似于Domain Admin的帐户，但是不能访问域控制器。换句话说，此帐户将对域中的任何客户端计算机具有完全的管理员权限，能够将计算机添加到域中，但对服务器的用户权限有限。

最终用户技术支持人员将使用此帐户。他们应该对客户端计算机具有完全的访问权限，以安装驱动程序，应用程序等...但是我不希望它们在服务器上。

虽然我可能可以通过政策自己解决问题，但可能会很混乱，所以我想问：解决这个问题的正确方法是什么？

我们在远程办公室中执行与此类似的操作。首先，为域中的psuedo-admins创建一个组。在AD中，将控制权委派给他们可能需要管理的OU（创建/删除帐户，或者仅重置密码，或者什么都不做）。

然后使用“组策略”，通过“ 计算机\ Windows设置\安全设置\受限制的组”将您的组添加到工作站和服务器上的本地管理员组。不要将此策略部署到域控制器OU或包含服务器的OU中。

显然，这取决于将AD配置为将客户端系统与服务器分离的方式。

当我们进入UAC是标准功能的Active Directory环境时，您还必须考虑到这一点。

默认情况下，仅本地管理员帐户和域管理员成员会自动提升权限，这在很多情况下都是必需的（连接到远程管理员共享是其中之一，显然这也是配置MSMQ和NLB的问题，我敢肯定还有其他问题）仅将一个新组放入本地Administrators帐户可能还不够。

要解决此问题，您必须在“本地策略”，“本地安全设置”下修改“用户帐户控制：管理员在管理员批准模式下提升提示的行为”安全策略，并将值设置为“无提示”。希望微软将来会提出一种更有针对性的方法（或修正要求批准提示变为AWOL的极端情况）。

尝试这个。这是到目前为止我发现的最简单的方法：http : //technet.microsoft.com/zh-cn/library/cc756087(v=WS.10).aspx 实质上，右键单击AD中的“ COMPUTERS”文件夹并选择“代理控制”。按照向导。适用于所有服务器版本。

设置一个权限组，使您希望他能够管理该组成员的计算机，并完全控制该组中的内容。

非常简单。Active Directory实际上是针对此类问题而设计的。只需创建一个新的组文件夹，然后在属性下更改安全设置即可。