Везде говорится про группу администраторов как обладающую наивысшими правами или про группу пользователей, которые обладают обычными правами. (Например, "для редактирования локальной политики вы должны запустить её от пользователя с правами администраторы" или "изменять членства в группе Администраторы может только пользователь с правами администратора"). Но очевидно, что в Windows вряд ли есть hard code на эти группы (на названия или айдишники) и всё это настраивается. Т. е. наверняка если задать соответствующие права стандартной группе "Пользователи", то они смогут делать всё то же, что могут по умолчанию делать администораты и т. п.
1) Действительно ли это так или всё-таки для каких-то действий действительно необходимо быть включённым в группу Администораторы или быть пользователем SYSTEM (т. е. пользователи-неадмины из группы Users чего-то сделать не смогут, как бы ни настраивай им права)?

Как я понял, права пользователей задаются либо на файлы/папки/ветки реестра, либо в политиках безопасности "Локальная политика безопасности – Локальные политики – Назначение прав пользователя", других мест не нашёл
2) Есть ли ещё какие-то места, где можно менять права пользователей/групп?
3) Какие права нужно дать пользователю (не входящему в группу администраторов), чтобы он мог менять членства в любых группах?
4) Какие права нужно дать пользователю (не входящему в группу администраторов), чтобы он мог менять любые настройки в локальных политиках безопасности?

Как я понял, права пользователей задаются либо на файлы/папки/ветки реестра, либо в политиках безопасности "Локальная политика безопасности – Локальные политики – Назначение прав пользователя", других мест не нашёл »
Вы смешиваете в одну кучу разные понятия.

На основе групп:
а) разрешения на доступ к объектам файловой системы и реестра контролируются с помощью списков контроля доступа (ACL)
б) права на выполнение тех или иных действий контролируются с помощью локальной политики безопасности

Вам светит увлекательное чтение: Access Control Overview (http://technet.microsoft.com/en-us/library/cc753976.aspx) и вытекающие из этого раздела главы. На русском языке (http://technet.microsoft.com/ru-ru/library/cc778371(v=ws.10).aspx) аналогичная информация доступна только для Windows 2003. Общие концепции не поменялись, но и различий наберется.

Что касается вопросов, то совершенно непонятно, зачем это нужно. Например, вопрос 3 попросту эквивалентен "Как мне сделать пользователя админом, не делая его админом?" :)
См. также Неправильно поставлена задача (http://www.outsidethebox.ms/13148/#_Toc314611149)

Естественно, я сначала это всё прочитал. :)
Да, я знаю, что есть "объектные привилегии" и "системные привилегии" (будем называть их так), по аналогии с базами данных. Но после прочтения так и не осознал, действительно ли абсолютно всё контролируется только ими или нет. А также нет ли ещё чего-то третьего, помимо этих двух видов "прав".
Вопросы задал как раз из образовательных целей, так как после прочтения документации не всё ясно.
Вопрос №1 в явном виде спрашивает, действительно ли с помощью раздачи объектных и системных привилегий (+ мб каких-то ещё типов прав) можно контролировать абсолютно всё что угодно? Или всё-таки есть какие-то тонкости, т. е. определённые вещи возможно сделать только пользователям группы Administrators?
Вопрос №2 спрашивает о существовании ещё каких-то видов привилегий в Windows (как я сам понял - таковых нет, но мало ли).
Вопросы №3 и №4 заданы для того, что непонятно, какие объектные или системные привилегии отвечают за изменения членств в локальных (не AD) группах, а также за изменение локальных политик. Например, в списке системных привилегий ничего подобного нет. Т. е. где написано, что именно группа Administrators имеет право изменять членства в группах? В правах на какой-то файл или ветки реестра? То же самое к политикам.

В правах на какой-то файл или ветки реестра? »
http://www.exonix.ru/foto/admin1.png

Это первое, что я проверил, но нет, это не то.
Да и из названия понятно, что данная привилегия даёт права на изменения владельца (а дальше, после того как стал владельцем, можно и любые права себе назначить), но напрямую не даёт других каких-то прав.


C:\Windows\system32>whoami /priv

Сведения о привилегиях
----------------------

Имя привилегии Описание Область, край
============================= ========================================== =============
SeTakeOwnershipPrivilege Смена владельцев файлов и других объектов Отключен
SeShutdownPrivilege Завершение работы системы Отключен
SeChangeNotifyPrivilege Обход перекрестной проверки включен
SeUndockPrivilege Отключение компьютера от стыковочного узла Отключен
SeIncreaseWorkingSetPrivilege Увеличение рабочего набора процесса Отключен
SeTimeZonePrivilege Изменение часового пояса Отключен

C:\Windows\system32>net user test test /add
Системная ошибка 5.

Отказано в доступе.

Естественно, я сначала это всё прочитал. »
Гм... Windows Internals, Fifth Edition by Mark E. Russinovich, David A. Solomon and Alex Ionescu, главу 6, раздел "Account Rights and Privileges" тоже читали?

ASFK1987, я вообще-то указал - В правах на какой-то файл или ветки реестра?
после этой политик "запуск от администратора" у простого пользователя появляется.

Гм... Windows Internals, Fifth Edition by Mark E. Russinovich, David A. Solomon and Alex Ionescu, главу 6, раздел "Account Rights and Privileges" тоже читали? »
Да, сейчас прочитал эти несколько десятков страниц из 6 главы (после вашего поста).
Кое-что прояснилось, но всё равно ответов на некоторые вопросы нет. А именно, например, так и непонятно, что отвечает за изменения членства в группах - какие-то системные привилегии или права на файлы/ветки реестра? Может, конечно, ответ есть в других частях или даже главах данной 6 главы, но я прочитал пока именно то, что вы написали. :)

В книге, кстати, сказано, что некоторые системные привилегии можно считать супер-привилегиями, так как обладание ими означает, что пользователь по сути может получить полный доступ к компьютеру. Например, привилегия SeTakeOwnershipPrivilege одна из таких. "...This wоuld аllоw thе оwnеr tо sее sеnsitivе dаtа аnd tо еvеn rеplаcе systеm filеs thаt
еxеcutе аs pаrt оf nоrmаl systеm оpеrаtiоn, suсh аs Lsаss, with his оwn prоgrаms thаt
grаnt а usеr еlеvаtеd privilеgеs." Т. е. предложенный метод "эксплойта" - это подмена каких-то системных файлов, которые затем дадут пользователю повышенные права (например, включат его в группу Администраторы). Но если бы включение в группу администраторов можно было сделать путём выдавания прав на какой-то файл/ветвь реестра, то никаких подмен системных файлов делать бы не пришлось - достаточно было бы просто выдать себе права на эти объекты и затем добавить себя в группу Администраторов, тем самым и получить повышенные права.
С другой стороны, среди системных привилегий больше нет такой, которая могла бы отвечать за изменения членств в группах, об этом вообще нигде даже близко не говорится.
В итоге так и непонятно, какие права надо давать пользователю, чтобы он мог изменять членства локальных групп - и системных привилегий таких нет, и с объектными вроде как не получается (по косвенным свидетельствам из абзаца выше).

В итоге так и непонятно, какие права надо давать пользователю, чтобы он мог изменять членства локальных групп »
Права администратора :)