GPO Grupos Restringidos Windows Server 2008 R2

Olá, hoje vamos ver um cenário muito comum nas empresas de médio e grande porte. Quantas vezes o Administrador da Rede teve a necessidade que o usuário local da máquina tivesse direitos Administrativos. Exemplo: um programa que ERP que necessita que em seu primeiro acesso que ele rode como Administrador, pois é, como fazer isso?

Vamos ao cenário:

Windows Server 2008 R2 (Domain Controler primário) ip 192.168.52.5/24

Windows Server 2008 R2 (Domain Controler secundário) ip 192.168.52.6/24

Criando a GPO:

Vá até o Administrative Tools -> Group Policy Management

Agora navegue até a Group Policy Objects:

E crie a GPO com um nome sugestivo, no meu exemplo estou criando como "Add_Admin_Local"

No Group Policy Management Editor vá até:

Computer Configuration -> Policies -> Windows Settings -> Restricted Groups

Agora vamos Adicionar o Grupo que desejamos no Grupo Administradores:

Clique em Add Group -> Digite o nome do grupo que você deseja que seja Administrador Local e atribua conforme a tela abaixo a este grupo:

Pulo do Gato:

Depois de vários testes chegamos a conclusão que esta GPO só funciona para objetos do tipo computadores, ou seja, posso criar uma OU para colocar todos os computadores que desejo ou para manter a organização do meu AD posso criar uma OU para cada setor como exemplo abaixo:

Agora basta arrastar a GPO Add_Admin_Local para essa OU Computadores