Добавляем доменную группу в локальную группу администраторов через GPO

По умолчанию на компьютере есть множество встроенных групп, а на деле в своей практике вы будете использовать только несколько из них, в остальных либо нет необходимости, либо служат для совместимости.
В этой статье мы будем говорить о встроенной группе безопасности «Администраторы» и как при помощи групповых политик нам добавить на каждой рабочей станции в эту группу необходимых нам пользователей отдела ServiseDesk.

1 . Создаем групповую политику, в моем случае это GPO_ServiceDesk

2 . Редактируем групповую политику GPO_ServiceDesk, ветку:
Конфигурация компьютера -> Политики -> Конфигурация Windows -> Параметры безопасности -> Группы с ограниченным доступом
3 . Добавляем группу из домена, в нашем случае UNITEC\ServiceDesk

4 . Редактируем созданную группу и добавляем в раздел «Эта группа входит в: » группу в которую мы добавим, в нашем случае это Администраторы

Если сначала добавить в "Группы с ограниченным доступом" группу Администраторы, а после в нее добавить нашу доменную группу ServiceDesk, то локальными администраторами, останутся только встроенный Администратор и добавленная нами группа ServiceDesk.
Все остальные записи, даже если они были добавлены вручную, будут из этой группы удалены и в ручную локально на компьютере вы их добавить не сможете, только через GPO.