Групповая политика "Группы с ограниченным доступом"
 

Всем привет, глобальная группа безопасности в AD добавлена в групповую политику "Группы с ограниченным доступом" для делегирования этой группе полномочий администратора, при отрабатывании политики все пользователи на рабочих станциях кроме встроенного администратора теряют членство в группе администраторы - я так понимаю, что это фича такой политики, но мне сообщили, что она может отрабатывать без сброса прав админа у локальных учетных записей, так ли это?

Да, это фича. Если нужно сохранить локальных юзеров в группе админов, то лучше это делать через Group Policy Preferences (Предпочтения групповых политик). Если-же локальный юзер имеет одно и тоже имя на всех компьютерах, то можно и стандартным способом через "Группы с ограниченным доступом", добавив в список BUILTIN\Имя локального юзера.

да, это так.
https://support.microsoft.com/ru-ru/...tricted-groups