[ASFK1987]

Естественно, я сначала это всё прочитал.
Да, я знаю, что есть "объектные привилегии" и "системные привилегии" (будем называть их так), по аналогии с базами данных. Но после прочтения так и не осознал, действительно ли абсолютно всё контролируется только ими или нет. А также нет ли ещё чего-то третьего, помимо этих двух видов "прав".
Вопросы задал как раз из образовательных целей, так как после прочтения документации не всё ясно.
Вопрос №1 в явном виде спрашивает, действительно ли с помощью раздачи объектных и системных привилегий (+ мб каких-то ещё типов прав) можно контролировать абсолютно всё что угодно? Или всё-таки есть какие-то тонкости, т. е. определённые вещи возможно сделать только пользователям группы Administrators?
Вопрос №2 спрашивает о существовании ещё каких-то видов привилегий в Windows (как я сам понял - таковых нет, но мало ли).
Вопросы №3 и №4 заданы для того, что непонятно, какие объектные или системные привилегии отвечают за изменения членств в локальных (не AD) группах, а также за изменение локальных политик. Например, в списке системных привилегий ничего подобного нет. Т. е. где написано, что именно группа Administrators имеет право изменять членства в группах? В правах на какой-то файл или ветки реестра? То же самое к политикам.