Não é de hoje que nossos administradores de redes precisam delegar certo nível de controle às estações de trabalho aos técnicos e analistas de campo, seja de forma efetiva ou temporária. Esta técnica permite ao administrador adicionar usuários a um grupo de administradores locais em um parque de estações de trabalho com servidores baseados no Windows Server 2012, 2012 R2 e 2016.
Obs.: Antes de iniciar o processo, crie um grupo de usuários chamados Local_admin (o nome aqui é uma sugestão, ou seja, você pode definir o nome que achar mais interessante). Eu adicionei o grupo de usuários na OU Users, porém você pode criar onde achar mais adequado;
0. Abra o Server Manager. No canto direito superior de sua tela, clique em Group Policy Management;
0.1. Localize o Group Policy Objects e clique em cima dele com o botão direito do mouse;
0.2. Clique em New e adicione um nome a GPO (eu utilizei aqui o nome Adm_local, mas você pode escolher o nome que desejar);
0.3. Clique com o botão direito do mouse em cima da GPO que você acabou de criar e em seguida clique em Edit;
1.1. Expanda Computer Configuration, Policies, Windows Settings, Security Settings e clique em Restricted Groups;
1.2. Clique com o botão direito do mouse em Restricted Groups e em seguida em Add Group;
1.3. Adicione o grupo de usuários que criamos, nesta caso o Local_Admin ao Este grupo é um membro de:;
1.4. Feche a janela de edição da GPO;
1.5. Ainda no Group Policy Management, escolha a unidade organizacional que contêm os desktops e noteboks de sua rede. Clique em cima dessa Unidade Organizacional e selecione a opção Link an Existing GPO. Escolha a GPO Admin_local.
Pronto, agora quando as políticas forem atualizadas, todas as máquinas que estiverem dentro dessa unidade organizacional permitirão acesso de todos os usuários que fizerem parte do grupo Local_admin. Tome cuidado, pois se você aplicar essa configuração diretamente a Default Domain Policy, todas as maquinas (incluindo servidores membro), receberão a permissão do grupo local.
Talvez seja necessário utilizar um gpupdate /force nas estações de trabalho para que a ação seja validada. Está técnica não é exatamente uma novidade e funciona perfeitamente em versões e edições mais antigas do Windows Server e respectivas estações de trabalho.
