Предоставление пользователям без прав администратора прав для удаленного входа в систему очень просто, просто добавьте группу AD в локальную группу Remote Desktop Users. Это, вероятно, суть ваших текущих проблем.
Точно так же вам не нужно быть Domain Admin, чтобы быть в группе Local Administrators. Вы можете использовать групповую политику для настройки и добавления другой группы AD в группу Local Administrators, тем самым ограничивая количество Domain Admins и ограничивая возможности пользователей в группе. Примечание. Добавление людей в группу Local Administrators автоматически предоставляет им удаленный вход в систему, что исключает необходимость также добавления их в группу Remote Desktop Users.
Для простого чтения журналов событийдобавьте группу в группу Event Log Readers.
Разрешить не-администраторам запускать остановку служб намного сложнее, потому что вам нужно вручную установить разрешения ACL для запуска остановок служб на каждой службе отдельно См. : Установка разрешений для запуска служб останова
Самый простой способ - использовать SubInACL tool :
Настройка разрешений на обслуживание с помощью SubInACL Tool
- Загрузите subinacl.msi и установите его в целевой системе
В командной строке с повышенными привилегиями перейдите в каталог, содержащий инструмент:
cd "C:\Program Files (x86)\Windows Resource Kits\Tools\"
Запустите команду:
subinacl.exe /service MyServiceName /grant=contoso\JSmith=PTO