Conceder privilégios de administrador aos usuários de domínio para determinada aplicação?

Em última análise, depende de quão seguro você deseja seu ambiente. Para máxima segurança, um usuário nunca deve ter acesso administrativo. Assim, a melhor maneira de fazer isso é fazer com que um administrador execute o aplicativo elevando como administrador local (NÃO usando credenciais de administrador de domínio para impedir o despejo de senhas) e criando um serviço ou algo que é iniciado como administrador e depois executa o aplicativo . Dessa forma, você tem controle de granularidade e pode permitir que o aplicativo seja executado como administrador, sem conceder direitos de administrador ao usuário e expor-se a todos os tipos de ataques que exigem privilégios de administrador, como envenenamento por ARP MITM, NBT-NS spoofing e NTLMv2 MITM, despejo de senhas, etc.

Schtasks deve ser capaz de fazer isso: link

É totalmente possível criar grupos locais e, em seguida, conceder-lhes direitos específicos de acesso (pastas, chaves de registro, ...), mas isso sempre dependerá dos requisitos do aplicativo, e a escalabilidade pode ser um problema. Então, se você tiver algum exemplo sobre esses aplicativos, fique à vontade para compartilhá-lo.

Entretanto, posso sugerir as seguintes soluções para resolver o seu problema:

• [Conta de administrador separada] : conceda a cada usuário uma conta separada que fará parte do grupo de administradores locais de sua máquina
• [Grupo de usuários avançados] : tente adicionar uma conta de usuários em questão neste grupo que tenha alguns poderes administrativos limitados e tente se o aplicativo puder ser executado
• [Executar como ferramenta] : pode ser a melhor solução para o seu problema ( source ). Ele permite executar alguns aplicativos específicos com privilégios de administrador que você definiu sem precisar que o usuário seja administrador (veja a imagem abaixo)

Espero que isso ajude.