domanda un po' particolare: vorrei creare un utente di dominio, diciamo adminlocal, che sia administrator dei pc MA non del dominio: c'è un modo agevole per farlo che non sia quello di aggiungerlo manualmente ai vari pc? con le policy forse?

Non so risponderti con esattezza ma probabilmente posso darti l'imput per trovare poi la soluzione.
Se le macchine sono gia in dominio puoi abilitare gli script di accesso (che magari gia usi per le unità di rete)
Magari ci puoi aggiungere qualche riga per la creazione automatica di un nuovo utente che si può fare anche da cmd con net user

net user NomeUtente 12345 /add
net user [NomeUtente] [password] /add
e poi
new localgroup administrators [NomeUtente] /add
e lo rendi amministratore locale.

Ma prendi con le pinze magari la sinstassi la sbaglio..

Poi una volta che tutti i pc si sono loggati almeno una volta e han eseguito la rimuovi, ( e devi valutare cosa succede poi nel caso che l'utente sia gia creato e venga eseguito nuovamente lo script)

Spero di averti dato un punto di partenza.

gpo con i restricted groups

fai un gruppo AD, ci piazzi dentro gli utenti amministratori locali
poi questo gruppo lo associ nel restricted group BUILTIN\Administrators
e la policy la attivi nelle OU dove sono presenti le macchine che questi utenti devono amministrare

PS con script di accesso di AD è stata deprecata la possibilità di creare di impostare password agli utenti, in quanto quest script risiedono sulla SYSVOL accessibile agli authenticated users

domanda un po' particolare: vorrei creare un utente di dominio, diciamo adminlocal, che sia administrator dei pc MA non del dominio: c'è un modo agevole per farlo che non sia quello di aggiungerlo manualmente ai vari pc? con le policy forse?

Se vuoi una soluzione mediamente sicura è di mettere LAPS, e poi usare i restricted groups (o GPP - se usate con criterio vanno altrettanto bene e un po' più flessibili) per mettere i gruppi come ti ha descritto bejita.

In tal modo usi un utente di dominio "delegato" a workstation admin per le attività regolari. Nel caso in cui ti serva la password dell'amministratore locale del pc devi guardare su AD l'oggetto computer.


LAPS ti protegge dai lateral movement. I restricted groups no, ma ti rendono la vita "possibile".

gpo con i restricted groups

fai un gruppo AD, ci piazzi dentro gli utenti amministratori locali
poi questo gruppo lo associ nel restricted group BUILTIN\Administrators
e la policy la attivi nelle OU dove sono presenti le macchine che questi utenti devono amministrare

PS con script di accesso di AD è stata deprecata la possibilità di creare di impostare password agli utenti, in quanto quest script risiedono sulla SYSVOL accessibile agli authenticated users

per "associ" intendi che lo aggiungo come membro? perché non vedo il gruppo ma c'è "DOMAIN COMPUTERS"

group -> metti il gruppo AD degli admin locali
member of -> BUILTIN\Administrators

non ci sono riuscito
o meglio, ho creato il restricted group come in questo video:
https://www.youtube.com/watch?v=oYFk_UFPFCc
però così facendo l'utente è amministratore di tutte le macchine e se da una di queste apro "Utenti e computer di Active Directory" riesce a modificare anche le utenze di dominio, mentre io invece non voglio questo.
ho provato anche a creare un nuovo oggetto di gruppo limitato solo ad alcuni pc, ma comunque applica i permessi di amministratore dappertutto

non ci sono riuscito
o meglio, ho creato il restricted group come in questo video:
https://www.youtube.com/watch?v=oYFk_UFPFCc
però così facendo l'utente è amministratore di tutte le macchine e se da una di queste apro "Utenti e computer di Active Directory" riesce a modificare anche le utenze di dominio, mentre io invece non voglio questo.
ho provato anche a creare un nuovo oggetto di gruppo limitato solo ad alcuni pc, ma comunque applica i permessi di amministratore dappertutto

non linkare MAI la gpo con i restricted groups sui domain controller

al 99% sono diventati domain admin :-)

eh infatti
ho provato anche, come scritto, a fare un oggetto legato solo a certi pc ma non cambia, applica la policy a tutto
devo dire però che non conosco molto la teoria dell'AD, sicuramente mi sfugge qualcosa
intanto cmq grazie, ci riproverò di nuovo lunedì credo

eh infatti
ho provato anche, come scritto, a fare un oggetto legato solo a certi pc ma non cambia, applica la policy a tutto
devo dire però che non conosco molto la teoria dell'AD, sicuramente mi sfugge qualcosa
intanto cmq grazie, ci riproverò di nuovo lunedì credo

1 - non modificare MAI le default policy (sia per il dominio che i DC)
2 - se devi cambiare i setting di tali policy aggiungi una policy e linkala in maniera più precisa (per ou, per gruppo, per oggetto, come ti serve)

Quello che devi fare tu è creare una nuova policy con i restricted groups, linkarla sulla ou dove stanno gli oggetti pc (e per carità di dio spostali dal default di Computers) e filtrala per un pc di test. Quando hai verificato che funziona fai in modo che la gpo venga presa anche dagli altri pc.

Per padroneggiare le gpo ti raccomando di tirarti su un laboratorio per fare prove.
Se ti mancano un paio di cose le gpo su win7 vengono prese un po' quando vogliono. Da 8/8.1 in poi con le "ottimizzazioni" che hanno rischi di ritrovarti con la situazione ancora peggio.