Existe uma maneira de conceder acesso administrativo a contas baseadas em domínio em máquinas específicas e não em outras?
Eu posso controlar o acesso e os direitos para quais máquinas um usuário pode fazer login e quais são seus privilégios em uma escala global, mas existe uma maneira de controlá-los em máquinas individuais?
Sim.
Você pode adicionar contas de domínio a máquinas individuais e a todos os grupos que quiser em máquinas individuais. Em uma manual, única (por exemplo, NET LOCALGROUP Administrators [domain]\[account] /ADD ), programaticamente com um script ou mesmo usando a Política de Grupo para lidar com isso dinamicamente e automaticamente.
Adicione-os ao grupo de administradores locais nas máquinas individuais. Se você quiser gerenciar isso centralmente, adicione um grupo de segurança de domínio por máquina / grupo de máquinas, permitindo adicionar / remover membros desses grupos no diretório ativo.