Админский доступ к компам домена
 

Добрый день!
Помогите начинающему админу, плиз.
Задача такая: хотелось бы иметь доступ к рабочим станциям от имени администратора домена. Есть закавыка - некоторая часть пользователей обладают локальными админскими правами на компах, т.к. коллектив творческий - программеры, разработчики-конструктора. Лишить их админских прав не получиться.
Главная цель - сбор сведений об установленном ПО, возможность дистанционного удаления ПО (если установлена несанкционированная пиратка).
Что пока было сделано: с помощью ГПО (рестриктед групп) была добавлена доменная группа HelpDesk в локальных админов на рабочих станциях. Политика отработала, группа успешно добавилась. В группу входят несколько доменных учеток, являющихся администраторами домена.
Какие еще службы надо запустить с помощью ГПО, и какие настройки применить, чтобы иметь доступ к рабочим станциям?
Пробовал собирать информацию с помощью Страйк-10, но на некоторых компах пишет - нет прав администратора.
Так же к части компов не получается подключиться через Управление компьютером.
Допустим, если отключить брандмауэр или разрешить в нем админский доступ - такое возможно? И если его отключать, смогут ли локальные админы его потом включить?

Допустим, если юзер скриптом или еще как-то удаляет встроенные ресурсы ADM$, C$, D$... и снял галочку Служба доступа к файлам и принтерам в сетевом соединении - как это можно исправить через ГПО?

Какие службы еще настраивать?


Раб станции: ХР, 7, немного 8. КД - 2008 Р2.

Заранее благодарен.

У вас "в огороде бузина, а в Киеве дядька". Одно к другому никаким боком. А идя на поводу "творческих" чешущихся рук, будете вечно искать "костыли", пытаясь исправить все те косяки, которые они натворили. Не с того начинаете, уважаемый начинающий.

Текст ошибки? Служба "Удалённый реестр" работает?

Текст ошибки приведу.
По поводу Киева и дядьки в бузине - я имею ввиду, что они могут сами устанавливать себе тот софт, который им нужен, и сами его ищут: всякие КАД-ы, и прочие, позволяющие делать расчеты и рисовать монтажные платы и все в таком духе. Если к ним бегать по каждому такому поводу - все остальные дела можно сразу забросить. Увы, тут это - необходимое зло, поддерживаемое руководством в лице акционеров-собственников.
Удаленный реестр - не проблема, включу через ГПО. Еще нашел, как разрешить админское подключение в брандмауэре (правда не откатывал на виртуалках).
Вообще, эти "творческие" проблем особых не доставляют, мне хочется настроить именно для удобства.
А из таких случаев я наверное только один выявил - когда у пользователя, с расшареным принтером "вдруг сам" включился фаерволл и остановилась служба сервер, как следствие - принтер стал недоступен.

Вы сами себе противоречите: