Я установил тестовый домен с контроллером домена Windows 2012 и клиентом Windows 7. Пользователь домена User1 вошел в систему на клиентском компьютере и является только членом пользователей домена:
C:\Users\User1.HYPERION> net user User1 /domain
...
Local Group Memberships
Global Group memberships *Domain Users
Этот пользователь не является членом группы локальных администраторов на контроллере домена:
C:\Users\Administrator> net localgroup Administrators
...
Members
----------------------------------
Administrator
Domain Admins
Enterprise Admins
Почему этот пользователь домена, вошедший в систему на клиенте, кажется, имеет разрешение запрашивать службы на контроллере домена?
C:\Users\User1.HYPERION> sc \\DC qc spooler
[SC] QueryServiceConfig SUCCESS
...
AFAIK, прошедшие аутентификацию пользователи имеют разрешения на запросы к сервисам, как определено в дескрипторе безопасности этих сервисов.
Прочтите ссылку для получения дополнительной информации:
http://blogs.msmvps.com/erikr/2007/09/26/set-permissions-on-a-specific-service-windows/