[WindowsNT]

Установка программ = привилегии администратора.
Точка.

[El Scorpio]

Цитата Elven:

права только на установку. »

Установка произвольных программ подразумевает запись файлов во все системные каталоги и изменение всех системных разделов реестра, то есть всего того, что должно быть доступно только пользователям из группы "администраторы".

[Elven]

Эвоно как... Хорошо, тогда подскажите еще один момент.
Делал все что было указано выше следующим путем:
Зашел в групповые политики - Конфигурация Windows - Параметры безопасности - Группы с ограниченным доступом. Создал группу "Администраторы" как на локальной машине. Добавил группу пользователей.
На локальной машине пользователь получил права админа, но проблема в том что эта самая группа попала и в группу Administrators в домене, что дало права доменного админа.
Что я сделал не так?

[Telepuzik]

Цитата Elven:

Что я сделал не так? »

Применили политику к контроллерам домена.

[Elven]

Telepuzik, вроде понял. Делал в одной из ранее использовавшихся политик, на все машины вообще применялась.

[WindowsNT]

В конфигурации Restricted Groups нужно перечислить всех членов без исключения, если вы описываете именно BUILTIN\Administrators.
То, что пропали группы и пользователи, не описанные политикой, — совершенно нормально.
Всегда сначала проверяйте действие политик на тестовом OU.

[Elven]

Я многое сделал неправильно. Теперь допилил следующим образом:
Групповые политики - Конфигурация Windows - Параметры безопасности - Группы с ограниченным доступом.
Создал группу "LocalAdmins" как в домене, указал "Эта группа входит в:"

Administrators;
Администраторы;

Теперь все в шоколаде: все добавленные в группу LocalAdmin (в домене) получают права локального админа.