Цитата fat_cat:
|
избежать добавления руками админов, но видать, нереально оно »
|
restricted groups всем,
локальных админов этой же политикой переименовать, например, в localadmin,
в логон скрипт
компьютера поставить команду
net user localadmin password Parol_@dmina
И нужных юзеров научить запускать админские вещи через runas
Для обычной работы с повышенными привилегиями достаточно членства в Power Users.
Поэтому сделать отдельную политику, которая засунет группу Domain Users в локальную Power Users - и применить её только на нужные компы.
Геморроя значительно меньше
