Хотелось бы реализовать безопасную работу в ОС, для чего юзерам создаются учетные записи пользователей для работы, и учетки админа для изменения каких-то системных параметров/редкой установки приложений. Возможно есть более безопасная схема, но вроде рекомендуется именно такая.

Вопрос:
1. Как запретить учетным записям админов (кроме встроенного) логиниться (входить локально), но при этом оставить право runas.
2. Как запретить учетным записям админов (кроме встроенного) менять пользователям права.

1. Как запретить учетным записям админов (кроме встроенного) логиниться (входить локально), но при этом оставить право runas. »
Изменить локальную политику (gpedit.msc): Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя - Локальный вход в систему.
Удалить группу Администраторы. Не забыть добавить учетку - Администратор.

2. Как запретить учетным записям админов (кроме встроенного) менять пользователям права. »
Что именно имеется в виду файловые разрешения, или добавление в группы безопасности? Если втрое то с ходу не нашел такого. ИМХО на 80% решается первой задачей. Т. к. остается только одна учетка для интерактивного входа, а менять разрешения через комстроку, не всякий захочет/сможет.

Изменить локальную политику (gpedit.msc): Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - Локальные политики - Назначение прав пользователя - Локальный вход в систему.

Пробовал только через локальную политику (secpol.msc), сейчас попробовал через групповую, результат аналогичен.
Пока пробую работать под админом, а редактировать пользователя.

C:\Documents and Settings\geleoss>net user geleoss
Имя пользователя geleoss
..
Членство в локальных группах *Администраторы
Членство в глобальных группах *Отсутствует

C:\Documents and Settings\geleoss>net user geleossadm
Имя пользователя geleossadm
..

Членство в локальных группах *Пользователи
Членство в глобальных группах *Отсутствует

C:\Documents and Settings\geleoss>runas /u:geleossadm cmd
Введите пароль для geleossadm:
Попытка запуска cmd от имени пользователя "ORBIT\geleossadm" ...
ОШИБКА RUNAS: Не удается запустить - cmd
1385: Вход в систему не произведен: выбранный режим входа для данного пользовате
ля на этом компьютере не предусмотрен.

Т.е. если группы нет в "Локальном входе в систему", то команду runas выполнить не получаетдописася.

Ни у кого новых идей не появилось?

Напомню желаемую конфигурацию Win XP:
Root - аккаунт встроенного администратора, может всё. Локальный вход запрещён (не обязательно), только удаленный. Пароль юзеру не известен.
Admin - аккаунт администратора. Локально входить не может. Разрешен запуск приложений из других аккаунтов.
User - аккант польователя. Может локально входить. Разрешено установка приложений от имени администратора.

Цель: пользователь работает под учеткой пользователя; система защищена от большинства вирусов, прописывающих себя в автозапуск (реестр), возвожность изменить конфигурацию Windows ограничена, т.е. поломать что-то глобально не получиться; если какие-то программы устанавливаться, то только сознательно.

Вопрос: как реализовать запрет локального входа Admin`у, но при этом оставить право User`у устанавливать программы от имени Admin (через runas).