Wer in einer Domain ein sauberes Rechtekonzept fährt wird sehr wahrscheinlich auch keine Benutzer direkt auf Server in die lokale Administratorgruppe eintragen, sondern dies für einzelne Server über eine spezielle Gruppe machen.
Dies hat mehrere Vorteile. Auf der einen Seite bleiben die Server "sauber", auf der anderen Seite kann man bei einem Administrativen Domainkonto direkt in den Gruppenmitgliedschaften sehen, wo der Benutzer überall drauf berechtigt ist.
So kann z.B. für jeden Server, auf den individuell Adminsitratorrechte gewährt werden sollen, bei Bedarf eine Gruppe nach dem Namenschema "LG_Local Admins Server123" angelegt werden in die dann Benutzer aufgenommen werden, die lokale Administratorrechte auf Servern besitzten.
Ein Script, dass dies realisiert würde z.B. wie folgt aussehen.
Option Explicit On Error Resume Next Dim Mydomain Dim GlobalGroup Dim oDomainGroup Dim oLocalAdmGroup Dim oNet Dim strComputer Dim objUser Dim str_found Set oNet = WScript.CreateObject("WScript.Network") strComputer = oNet.ComputerName MyDomain = "domain.local" GlobalGroup = "LG_Local Admins " & strComputer Set oDomainGroup = GetObject("WinNT://" & MyDomain & "/" & GlobalGroup & ",group") Set oLocalAdmGroup = GetObject("WinNT://" & strComputer & "/Administrators,group") Set oLocalAdmGroup = GetObject("WinNT://" & strComputer & "/Administratoren,group") For Each objUser in oLocalAdmGroup.Members If objUser.Name = GlobalGroup then str_found = 1 End If Next If str_found <> 1 then oLocalAdmGroup.Add(oDomainGroup.AdsPath) End if 'Nullify Variables Set Mydomain = Nothing Set GlobalGroup = Nothing Set oDomainGroup = Nothing Set oLocalAdmGroup = Nothing Set oNet = Nothing Set strComputer = Nothing