Lo scopo dell’operazione è quello di abilitare un gruppo “domain admins it” come “administrators” locali sui client.

Creare una nuova GPO e aggiungendo una voce in:

Computer Configuration -> Windows Settings -> Security Settings -> Restricted Groups

 A questo punto mettere il gruppo di AD che ci interessa come:  dominio\”nome dei gruppo”

E’ importante notare che si è partiti da il gruppo di AD e si è detto che tale gruppo è membro degli “Administrators” (senza specificare un nome computer).

Tale operazione permette di mantenere le impostazioni già presenti sul client, esempio un utente di dominio inserito manualmente come membro del gruppo “Administrators”.

N.B.

Se si procede in modo contrario, inserendo come “Restricted Groups” il gruppo “Administrators” e poi utilizzando la voce “Membri del gruppo” per inserire un gruppo appartenente al dominio, queste impostazioni andranno a sovrascrivere quelle presenti nel client.