Situación.

Esto es algo que he visto en diferentes lugares y es que en ocasiones ciertos usuarios con privilegios de administrador en un equipo unido a dominio, eliminan el grupo de domain admins u otros grupos que es requeridos para la organización, ya sea para comprobar el estado del equipo o para hacer deploys de software como es el caso de SCCM.

Una de las reglas básicas es: Nunca poner a los usuarios como administrador local, pero en caso de que sea algo requerido y quieren asegurarse de que el grupo que desean siempre esté como administrador local dentro de sus equipos, entonces la solución es aplicar un GPO para que se encargue de esto automáticamente, no importa si el usuario elimina el grupo o los grupos del administrador local dentro de sus equipos, al momento de que un GPO se aplique, éste volverá a agregar los grupos requeridos dentro del grupo de administradores del equipo.

La solución es la siguiente:

Ingresar a Group Policy Management

Dentro de Group Policy Management
1.- Expandir el dominio

2.- Click derecho a Group Policy Objects

3- New

Seleccionar el nombre deseado

Seleccionar el GPO creado, dar click derecho y editar.

Dentro del editor
1.- Expandir Computer Configuration

2.- Expandir Preferences

3.- Expandir Control Panel Settings

4.- Click derecho sobre Local Users and Groups, seleccionar new y después Local Group

Dentro del editor Local Users and Groups

1.- Seleccionar la acción de Update

2.- Seleccionar Administrators (built-in)

3.- Seleccionar agregar

4.- Click en los puntos suspensivos

5.- Comprobar de que en location esté el nombre de su dominio, después agreguen el grupo deseado. Nota: Se pueden agregar multiples grupos separados por ;

Ya que se agreguen los grupos solo presionar OK

Ya que el GPO se encuentre creado y editado, podemos proceder a crear un link entre el GPO y el OU al que queremos aplicar nuestro GPO, para ello basta con seleccionar el OU de nuestra preferencia, dar click derecho y seleccionar en Link an Existing GPO…

Seleccionamos el GPO que acabamos de crear

Ahora podemos realizar una prueba dentro de nuestro equipo, para esto he removido el grupo domain admins de mi grupo de administradores locales como se ve en la imagen.

Para esta prueba he forzado a que se actualicen las políticas de mi dominio con el comando
gpupdate /force

Ahora si vuelvo a comprobar mi grupo de administradores locales podré ver que nuevamente se encuentra mi grupo de domain admins.