Домен на сервере 2008 + клиент на Виста бизнес.

1 Ситуация. Пользователь добавлен только в группу Пользователи домена, т.е. прав на инсталляцию программ нет.
1.а. С включенным UAC пытаюсь ставить - выпадает требование ввести логин/пароль, ввожу данные этого же пользователя - говорит что прав недостаточно. Всё правильно.
1.б. Выключаю UAC. Теперь запросов на ввод логина/пароля нет, в системные папки ставить ничего не дает, но к примеру на другой раздел всё прекрасно ставится. Неприятно, но может так и должно быть (???).

2 Ситуация. Теперь в домене добавляю этого пользователя в группу Администраторы домена (знаю что права там избыточные, это я для теста).
На клиенте, в локальной политике, Администраторы домена добавлены в группу Администраторы (локальные).
2.а. С выключенным UAC программы ставятся хоть куда. Всё правильно.
2.б. С включенным UAC вылетает запрос на ввод логина/пароля, ввожу данные этого же пользователя и установка проходит хорошо. Зачем он запрашивает логин/пароль юзера, под которым я и так залогинен? Такие же запросы выпадают когда заходишь в свойства системы, в настройки сети и т.п.

Отключать UAC не хочу, чтобы не прокатывал вариант 1.б. Как победить странности 2.б?

vbrv,
1) По умолчанию пользователи домена имеют права локальной группы Power Users (для Vista - Users), которые имеют право установки программ. Кроме того если под юзверем ввести админские данные - то прогу можно поставить без заморочек с runas :-)

2) Упрощенно - UAC "подменяет" админскую учетку обычной пользовательской, поэтому при выполнении действий, которые по мнению Vista относятся к админским, выводится дополнительный запрос

Кроме того если под юзверем ввести админские данные - то прогу можно поставить без заморочек с runas :-) » ну про это я знаю :)

У меня будет две категории пользователей 1) которым нельзя ставить ничего и никуда 2) всё и хоть куда (админский пароль для runas давать не хочется, да и неудобно это)

Спасибо за разъяснения про UAC. Прийдется его отключить, чтобы не мучил вопросами 2-ую группу пользователей.
Жаль только что без UAC, юзеры из 1-ой категории, смогут ставить софт в несистемные папки. Запретить это наверное все-таки можно и без UAC. Наверняка тема про это уже есть на форуме - поищу...

vbrv,
Посмотри политики UAC в gpedit.msc Computer Configuration -> Windows Settings -> Local Policies -> Security Options

Как отключить UAC для отдельных групп пользователей:
http://www.thevista.ru/page.php?id=5034
http://www.winline.ru/articles/2822.php
http://www.oszone.net/4331/

Завтра поразбираюсь и отпишусь о результатах.

Извиняюсь, все работает как и должно работать, это я чего-то перемудрил.