Всех приветствую! Ситуация такова: есть домен под управлением Windows 2008 standart и 60 клиентов в нем под Win XP. Ко всем применяется политика ограниченного использования программ. Все путем, анархии нет, НО... Иногда возникает необходимость что то установить или запустить с привилегиями администратора. Казалось бы, чего проще: в политике RSP в ветке "применение" ставим чекбокс в положение "ко всем, кроме локальных администраторов". В той же политике, где настраивал RSP создаем в конфигурация компьютера-политики-конфигурация Windows-параметры безопасности-группы с ограниченным доступом группу с названием Админы, куда включаю 3 пользователей отдела техподдержки(что бы только им быть локальными админами на тех машинах, к которым политика применяется), там же делаю эту группу членом группы dultin\Администраторы - ОК. Затем на клиентах gpupdate \force или ребут. Так как все клиенты все равно остаются локальными админами, то получается им можно все, и в этом случае RSP становится бесполезной, приходится ставить галочку "для всех пользователей" в применении, что не всегда удобно, когда скажем, принтер или сетевуху переустанавливать приходится... Друзья мои, я опечален. Либо я запутался в терминологии и неправильно понимаю, как на самом деле это должно работать... Всего то хочется, что бы те вещи, которые запрещает RSP можно было бы запустив выбрав "запуск от имени" - учетнная запись локального админа и все. Не выходит пока... Помогите, пожалуйста разобраться...
вот скрин 117471

Два способа.
1. Работа с reg-файлами. Это несложно, просто двойной щелчок, и политика на время отключается: http://blog.windowsnt.lv/2011/05/30/preventing-malware-with-srp-russian/
2. Вообще-то, у всех администраторов и сотрудников техподдержки должны быть две учётные записи — рядовая для обычной работы и административная для поддержки. На некоторых предприятиях я Администраторов рабочих станций не ограничиваю средствами SRP. Когда им потребуется что-то установить, они выполняют установку через Run as Different User, мороки ноль.

Спасибо огромное! В эту то сторону я и копал... 1 способ мне понятнее и ближе, в эту я сторону я сразу и думал еще в начале... Реализовать второй не получается именно по той присине, что все в домене у меня имеют права локального Администратора, отнять которые я и пытаюсь, но пока не выходит. Остановлюсь пока на reg-файлах,это пока что кажется мне надежнее)))

отнять которые я и пытаюсь, но пока не выходит » немного оффтопа ))
решается административно:
- Регламент безопасности предприятия
- инвентаризация всего ПО (определяется перечень необходимого вместо "мне нравится")
- оценочная "страшилка" за "левый" софт (на руководство действует)

будет тяжко и жестко, гарантирую, у меня было много "бесед" с руководством на тему "парализации" рабочего процесса, но всегда старался объяснять при "пострадавших", что "не могу и не буду" всегда отличается от "не хочу обучиться" и всегда заверял руководство, что кто хотел и понимал необходимость перехода на аналогичное, но бесплатное ПО - всегда оказывалась помощь в освоении ПО, и другой способ - если хотите такую-то программу, то пишите вразумительное обоснование на приобретение, как правило этим и заканчивалось.

из личного опыта: я так побеждал WinRAR переводя на 7zip (почти 100 компов) и некоторые другие программы, хотя бы на фриварные вместо откровенно платных

Тут немного в другом вопрос, скорее из области практической реализации вышеперечисленного средствами GPO. Захотелось мне просто сделать всех в домене обычными пользователями, а не локальными администраторами, как они становятся при вводе их в домен( может тут то собака и зарыта - все делалось и делается прогой Profwiz, для миграции в домен профиля "как есть".). В общем, вариант с использованием reg-файлов, как советовал WindowsNT мне более по душе.