В какую группу AD добавить админов-эникейщиков?

В какую группу добавлять админов-эникейщиков, которые ходят по пользователям и решают локальные проблемы (устанавливают ПО, принтера и т.д). Не хочется давать им слишком много прав, но готовой группы в АД не нашёл.
Основные требования к правам пользователей этой группы:
Разрешено:
1. Установка и удаление софта на рабочих станциях пользователей.
2. Установка, обновление и удаление драйверов устройств (принтеров, факсов и прочих гаджетов).
3. Подключение через удаленный помощник к ПК пользователей (решено через групповую политику).
Запрещено:
1. Подключаться к серверам по RDP;
2. Вносить какие-либо изменения в AD (поэтому "Администратор домена" не подходит).