Situación.
Esto es algo que he visto en diferentes lugares y es que en ocasiones ciertos usuarios con privilegios de administrador en un equipo unido a dominio, eliminan el grupo de domain admins u otros grupos que es requeridos para la organización, ya sea para comprobar el estado del equipo o para hacer deploys de software como es el caso de SCCM.
Una de las reglas básicas es: Nunca poner a los usuarios como administrador local, pero en caso de que sea algo requerido y quieren asegurarse de que el grupo que desean siempre esté como administrador local dentro de sus equipos, entonces la solución es aplicar un GPO para que se encargue de esto automáticamente, no importa si el usuario elimina el grupo o los grupos del administrador local dentro de sus equipos, al momento de que un GPO se aplique, éste volverá a agregar los grupos requeridos dentro del grupo de administradores del equipo.
La solución es la siguiente:
Dentro de Group Policy Management 1.- Expandir el dominio
2.- Click derecho a Group Policy Objects
3- New
Seleccionar el nombre deseado
Seleccionar el GPO creado, dar click derecho y editar.
Dentro del editor 1.- Expandir Computer Configuration
2.- Expandir Preferences
3.- Expandir Control Panel Settings
4.- Click derecho sobre Local Users and Groups, seleccionar new y después Local Group
Dentro del editor Local Users and Groups
1.- Seleccionar la acción de Update
2.- Seleccionar Administrators (built-in)
3.- Seleccionar agregar
4.- Click en los puntos suspensivos
5.- Comprobar de que en location esté el nombre de su dominio, después agreguen el grupo deseado. Nota: Se pueden agregar multiples grupos separados por ;
Ya que se agreguen los grupos solo presionar OK
Ya que el GPO se encuentre creado y editado, podemos proceder a crear un link entre el GPO y el OU al que queremos aplicar nuestro GPO, para ello basta con seleccionar el OU de nuestra preferencia, dar click derecho y seleccionar en Link an Existing GPO…
Seleccionamos el GPO que acabamos de crear
Ahora podemos realizar una prueba dentro de nuestro equipo, para esto he removido el grupo domain admins de mi grupo de administradores locales como se ve en la imagen.
Para esta prueba he forzado a que se actualicen las políticas de mi dominio con el comando
gpupdate /force
