Estoy buscando crear una cuenta similar a un administrador de dominio, pero sin acceso a los controladores de dominio. En otras palabras, esta cuenta tendrá derechos de administrador completos para cualquier máquina cliente en el dominio, podrá agregar máquinas al dominio, pero solo tendrá derechos de usuario limitados para los servidores.
Esta cuenta será utilizada por una persona en una función de soporte técnico para el usuario final. Deben tener acceso completo a las máquinas cliente para instalar controladores, aplicaciones, etc. pero no los quiero en los servidores.
Si bien probablemente podría organizar algo yo mismo a través de una política, probablemente será un desastre, así que pensé que debería preguntar: ¿Cuál es la forma correcta de hacerlo?
fuente