В моей сети активных каталогов я хочу удовлетворить своего босса, предоставив ему полуадминистративные разрешения, которые позволят ему устанавливать программы в качестве администратора в чрезвычайных ситуациях на всех компьютерах, но не жертвовать целостностью сети. Могу ли я создать какой-либо тип настройки группы администратора или группы, которые позволили бы ему предоставить базовые права пользователя + возможность устанавливать программы / драйверы в качестве администратора? Я не хочу давать ему Админ домена или что-то сумасшедшее, просто обойти UAC.
Я собирался дать ему разрешение обойти UAC через объект групповой политики, но нужно ли мне создавать целый объект групповой политики только для него? Это слишком много?