Учетка нужна только для полного доступа к компу, но не было возможностей доменного админстратора...

Логинишся на компе локально (в окне логона выбираешься в списке _имя машины_(этот компьютер) и создаешь локальную учетку.

это получается учетка не домена...
наверное не так выразился
нужна учетка администратора под доменом но такая, что бы под этой учеткой нельзя было открывать скрытые ресурсы в сети (диски, они доступны только для доменного администратора), и так же нельзя было под этой учеткой что ли бо делать на самом контроллере домена...

Т.е. тебе надо, чтобы у пользователя были полные права на всех рабочих станциях в домене, но не на домен контролере? Тогда тебе надо эту учетку на каждом компе добавить в локальную группу "Администраторы".

Думаю можно со скриптами поколдовать, где-то видел скрипт смены паролей для локальных администраторов на всех тачках домена, теоретически можно и создавать юзверей и каких тебе надо! Я больше по *nix поэтому с этого места откланяюсь...
Посмотри тут http://av5.com/journals-magazines-online/1/14/112 ,
http://forums.microsoft.com/TechNet-RU/ShowPost.aspx?PostID=1684302&SiteID=40
может можно модифицировать

Т.е. тебе надо, чтобы у пользователя были полные права на всех рабочих станциях в домене, но не на домен контролере? Тогда тебе надо эту учетку на каждом компе добавить в локальную группу "Администраторы". »
Добавлял, может я, что то не так делал, но права не изменились (поменять время нельзя и усановить прогу нельзя, настройки сети недоступны и т.д. как и был обычный юзер)...

Добавлял, может я, что то не так делал, но права не изменились »
Судя по всему - действительно что-то не так делал. Ну либо у тебя доменными политиками ограничены права локальных админов, что не есть хорошо.
Кстати, как сказал RA_Dragun, действительно включение нужной доменной учетной записи/группы в группу локальных администраторов можно реализовать с использованием групповых политик и скриптов (кстати, так же можно и удалять "лишних" пользователей из группы локальных админов).

правой кнопкой Мой компьютер->Управление(под админом домена на контроллере домена), правой кнопкой на Управление компьютером-> подключиться к другому компютеру. Указываем ip или имя. Теперь суем доменного пользователя, под которым сидит юзер за компом в группу локальных администраторов.

Добавлял, может я, что то не так делал, но права не изменились (поменять время нельзя и усановить прогу нельзя, настройки сети недоступны и т.д. как и был обычный юзер)... »Права меняются после logoff/logon

т.е. добавляем юзера в группу администраторов - прав не появилось.
Делаем завершение сеанса, заходим под ним еще раз - права есть.

Копай тут http://www.microsoft.com/technet/scriptcenter/default.mspx

Политика домена применяется к учеткам пользователей или к машинам? Явно что права локальных админов урезаются политиками, так как у меня все юзвери локальные админы, но политикой права урезаны. Так что просто создаешь учетку в домене в другом OU и пишешь под него другую политику.

как можно политикой урезать права админа?
мне вспомнилось, что возможно в безопасности надо для учетки разрешить локальный вход в систему...

Если правильно понял, то нужно, чтобы обычный доменный пользователь был админом на локальном компе. Т.е. по сетке ему мало куда можно, а вот на компе, на котором сидит, творит что угодно? Если так, то я, к сожалению, знаю только один способ - "Start => Settings => Control Panel => User Accounts". В верхней строке вписываешь логин доменного пользователя, внизу название домена, на следующей страничке выбираешь назначаешь права админа на локальном компе. Голяк в том, что нужно пройти по всем компам, где может этот пользователь сесть, и добавлять можно только пользователя, а не группу целиком.