У меня есть небольшой домен, который содержит несколько пользователей домена. Как я могу настроить пользователей на права администратора (для установки программного обеспечения), но ограничить их доступом к запоминающим устройствам и DVD-ROM? Также я хочу установить ограничения на доступ к управлению пользователями и группами в Windows. Я добавляю их пользователя домена в группу администраторов на локальных машинах, они могут добавлять новых локальных пользователей, которых я хочу заблокировать.
Немного сложно понять, о чем вы спрашиваете, но вы не можете получить и то, и другое. Вы не можете иметь их в качестве администраторов, но при этом ограничивать их доступ к другим материалам. То или другое ....
В качестве меры предосторожности я бы не советовал использовать пользователей в качестве локальных администраторов на своих рабочих станциях. Плохие вещи обычно случаются; Обычно это связано с тем, что вам необходимо повторно создать образ рабочей станции, потому что на ней установлено какое-то вредоносное ПО.
Если вы находитесь в домене, я не могу понять, почему вашим пользователям нужно добавлять других пользователей на локальный компьютер. Вы делаете это в ADUC, а не на локальной машине. И если это достаточно маленькое рабочее место, установка необходимого им программного обеспечения не составит большого труда. Я бы предпочел это альтернативе.