Estou procurando criar uma conta semelhante a um administrador de domínio, mas sem acesso a controladores de domínio. Em outras palavras, essa conta terá direitos totais de Administrador em qualquer máquina cliente no domínio, poderá adicionar máquinas ao domínio, mas terá apenas direitos de usuário limitados aos servidores.
Essa conta será usada por uma pessoa em um tipo de função de suporte técnico do usuário final. Eles devem ter acesso total às máquinas clientes para instalar drivers, aplicativos, etc ... mas eu não os quero nos servidores.
Embora eu provavelmente possa juntar algo por meio de políticas, provavelmente será uma bagunça, então imaginei que deveria perguntar: Qual é a maneira correta de fazer isso?