Você está procurando Delegação de controle no Active Directory (AD) para conceder acesso ao seu "Ajudante de TI" para executar operações administrativas no AD. Esta funcionalidade é muito flexível, e eu recomendo que você faça algumas leituras e faça alguns cenários de teste para se familiarizar. As etapas específicas para delegar direitos para ingressar computadores em um domínio estão descritas em KB932455 . Você pode delegar muito mais, no entanto.
Para acesso ao computador cliente, você provavelmente está falando sobre a concessão seletiva de associação ao grupo "Administradores" local ao seu "Ajudante de TI". (É necessário que eles estejam no grupo "Administradores" local para poder instalar o software.) A funcionalidade Grupos Restritos da Diretiva de Grupo posso fazer isso. Essa funcionalidade permite "aninhar" um grupo do seu domínio em um grupo local em computadores clientes. Ao implantar uma política de Grupos Restritos em um Objeto de Diretiva de Grupo (GPO) vinculado a uma Unidade Organizacional (UO) onde os computadores clientes estão localizados, você pode fazer com que o grupo "Ajudantes de TI" seja adicionado automaticamente aos grupos "Administradores". os computadores aos quais o GPO se aplica.
Todas as delegações que você realizar sempre devem ser para grupos e não para usuários individuais. Mesmo que você tenha apenas um usuário de "Ajudante de TI" agora, você deve usar grupos para "preparar futuramente" o seu trabalho.
Ambas as funções dependem do seu AD ter um design razoável. Se, por exemplo, todos os seus computadores clientes estiverem em uma única Unidade Organizacional e você quiser restringir os "Ajudantes de TI" a serem "Administradores" de apenas um subconjunto dos computadores clientes, você terá um tempo mais difícil cumprindo esse requisito. requerimento. Se os computadores clientes forem organizados por OU, é mais fácil vincular os GPOs aos que cobrem os computadores de maneira seletiva. O mesmo vale para delegar o controle nas hierarquias de OU.
Você deve ler os princípios de design do AD para saber como você pode fazer com que o seu AD funcione bem para as necessidades da sua delegação:
- Design de práticas recomendadas do Active Directory para gerenciar redes Windows
- Criando um plano de unidade organizacional
- Delegando a administração usando objetos da UO
Algumas das minhas próprias explosões: