Atribuir permissões limitadas para um usuário de domínio temporário acessar sistemas de rede

Eu configurei uma pequena rede de domínio do Server 2008 R2 em casa para que eu possa aprender e praticar a administração.

Digamos que eu queira criar uma conta de usuário temporária para permitir que um auditor acesse todos os arquivos em estações de trabalho e servidores no domínio, mas não desejo conceder permissões de administrador completas, apenas acesso somente leitura a todos os arquivos.

Em segundo lugar, gostaria de habilitar o auditor a realizar as consultas do WMI conforme necessário.

Como devo fazer isso? Eu crio um grupo para o usuário e gero um GPO que se aplica a esse grupo? Quais propriedades eu precisaria definir?

Obrigado por qualquer conselho!

EDITAR

Designei a conta do auditor para Operadores de backup, mas descobri que não podia acessar compartilhamentos administrativos, por exemplo. "\ MyPC.testserver.com \ c $ \" estava acessível com a conta de administrador, mas não com o operador de backup.

Eu li sobre o grupo Operadores de backup criado aqui: link

Isso indica que

Members of this group can back up and restore all files on domain controllers in the domain, regardless of their own individual permissions on those files. Backup Operators can also log on to domain controllers and shut them down...

Existe uma maneira de modificar uma conta de administrador para que ela tenha acesso somente leitura a estações de trabalho?