Domínio do Windows 2003. Melhor maneira de atribuir permissões ao suporte técnico

Se precisarem solucionar problemas de estações de trabalho, eles precisarão de direitos de administrador local.

Sua abordagem está correta: use um grupo de domínio (mas ele precisa ser um domínio global se você quiser aninhá-lo em qualquer outro) e colocar as contas de usuário nele; É melhor não atribuir permissões a contas de usuários específicas, existem grupos exatamente para essa finalidade.

Sobre adicionar o grupo ao grupo Administradores local em cada estação de trabalho: não faça isso manualmente: -)

Use um script de inicialização simples da máquina com a configuração de diretiva de grupo net localgroup Administrators /add DOMAIN\YourGroup ou Restricted Groups.

Criar um domínio com escopo local do "Admin de estação de trabalho". Coloque todas as estações de trabalho em uma hierarquia OU comum ou mesmo UO. Vincule um GPO a uma configuração de grupos restritos para que o grupo de administradores inclua somente o Administrador de Estação de Trabalho. Agora, em seguida, qualquer grupo lógico de pessoal para esse grupo que deveria ter esse acesso. É provável que você queira "Suporte" e "Administradores do domínio" aninhados nesse grupo.