Primeiro, a menos que você tenha um bom motivo, não remova esse usuário de Domain Users . Além disso, quase nunca há um motivo para alterar o grupo principal. IIRC esta configuração exclusivamente se aplica a aplicativos POSIX, e não tem nenhum tipo de importância em relação a segurança.
Além disso, você tem a ideia certa aqui. Adicione um usuário de domínio a um grupo de domínio e use a Política de Grupo para adicionar o grupo de domínio aos grupos de Administradores locais. Você errou na etapa 5, onde você tem a associação do grupo invertida .
Na verdade, o que você acabou de pedir à GP para fazer é "pegar um grupo de domínio e adicioná-lo ao grupo de administradores locais. Isso parece correto, mas pareça um pouco mais próximo e perceba qual elemento você está solicitando à Diretiva de Grupo" Nesse caso, você está pedindo para que modifique o grupo de domínios adicionando-o ao grupo local, que nunca funcionará . Como a Diretiva de Grupo é sempre processada em sistemas clientes, você nunca pode modificar contas de domínio, você só pode modificar contas locais .
Para que isso funcione corretamente, é necessário solicitar à política de grupo que modifique o grupo local adicionando o grupo de domínio a ele . Para fazer isso, abra Grupos Restritos e comece selecionando o grupo Administradores no sistema local (não se preocupe, ele funcionará para o grupo correspondente em qualquer sistema ):
Emseguida,modifique-oadicionandoogrupodedomíniocomomembro:
