[SkyF]

в догонку по теме:

кстати, есть шаблон безопасности, compatws.inf - который выставляет разрешения на реестр и на системные каталоги.

из встроееной справки: Совместимый (Compatws.inf) шаблон.
Разрешения по умолчанию для рабочих станций и серверов сначала создаются для их локальных групп: «Администраторы», «Опытные пользователи» и «Пользователи». Члены группы «Администраторы» обладают наибольшими правами, тогда как члены группы «Пользователи» — наименьшими. По этой причине можно значительно повысить безопасность, надежность и снизить общую стоимость владения системой, если придерживаться следующих правил:

убедиться, что конечные пользователи являются членами группы «Пользователи»;
внедрить приложения, которые могут успешно запускаться и выполняться членами группы «Пользователи».
Лица, обладающие правами группы «Пользователи» могут работать с приложениями, принимающими участие в программе размещения эмблемы Windows для программного обеспечения. Однако члены группы «Пользователи» могут испытывать проблемы при запуске приложений, не отвечающих требованиям программы. Если необходимо обеспечить поддержку таких приложений, существуют две возможности.

Все члены группы «Пользователи» должны также являться членами группы «Опытные пользователи».
Использовать дополнительные разрешения разрешения по умолчанию, созданные для группы «Пользователи».
Поскольку члены группы «Опытные пользователи» обладают наследуемыми возможностями, такими как создание пользователей, групп, принтеров и общих ресурсов, некоторые администраторы предпочитают предоставить дополнительные разрешения группе «Пользователи», вместо зачисления конечных пользователей в группу «Опытные пользователи». Для этих целей служит «Совместимый» шаблон. При помощи шаблона «Совместимый» можно изменить разрешения для файлов и реестра, используемые по умолчанию для группы «Пользователи», и соответствующие требованиям большинства приложений, не входящих в программу размещения эмблемы Windows для программного обеспечения. Кроме того, поскольку после применения совместимого шаблона пользователи не должны присоединяться к группе «Опытные пользователи», все члены группы «Опытные пользователи» удаляются. Дополнительные сведения см. в разделе Параметры безопасности по умолчанию.

Совместимый шаблон не следует применять к компьютерам, которые являются контроллерами домена. Например, не следует импортировать совместимый шаблон в стандартный домен или в объект групповой политики стандартного контролера домена.


доступ к нему из mmc.exe там добавить оснастку Шаблоны безопасности (для просмотра изменений из этого шаблона) и Анализ и настрока безопасности (для изменения локальной политики при отсутствии домена).

в принципе можно сделать свой ОГП в домене и импортировать в раздел Конфигурация Windows - параметры Безопасности этот шабон. он позволяет пользователям запускать (и устанавливать думается) те программы, которые требуют больших разрешений, чем обычный пользователь.

это удобнее, чем пользователя в группу опытных пользователей добавлять. системные права при этом же ему не даются..