Есть машина с Windows 2008 Server R2, без домена.
Интересует возможность дать обычному локальному пользователю права на создание и редактирование учетных записей (по аналогии с правами группы "Операторы учета" в доменной структуре), при этом не давая ему права админа.
Возможно ли такое?

Как вариант - создать новый ярлык. В пути прописать:

C:\WINDOWS\system32\runas.exe /savecred /user:ИмяМашины\Администратор "mmc lusrmgr.msc"

При первом запуске ввести пароль администратора. При последующих запусках пароль спрашиваться не будет. Будет открываться оснастка "Локальные пользователи и группы" от имени нужного администратора.

Только не «runas /savecred». Это всё равно что в группу администраторов добавить.

Iska, дык если пользователь сможет добавлять учетки, что ему мешает сделать себя админом из этой оснастки, с ключом /savecred или без него? :)

…что ему мешает сделать себя админом из этой оснастки, с ключом /savecred или без него? :)»
Ой :sorry: …

Насколько я помню группу Power Users никто не отменил.
Создать вторую учетку, запретить ей вход через службу терминалов и использовать ее через runas для работы.

Delirium, Спасибо, работает.
По поводу небезопасности - согласен, что можно повысить себе права. Но, учитывая, что изменять учетки будет руководитель, он безобразничать не будет. Просто хочу, чтобы случайно куда-нибудь не ткнул, залогинившись под учеткой локального админа, поэтому так и изощряюсь.

zero55, Power Users (они же Опытные пользователи) могут только просматривать локальные учетки, а редактировать не могут (вылезает ошибка прав доступа)