Соглашусь
.. Но в моем случае (одноранговая сеть без AD) все-таки это пусть через ж.., но выход. По крайней мере все юзеры сидят под правами пользователя + обрезанным интерфейсом/функционалом винды, и в то же время я могу сесть за рабочее место юзера и за пол-минуты без многократных перезагрузок разблокировать его интерфейс.
Скрипт для создания нового администратора можно запустить, только зная пароль текущего.. а как юзер его узнает? Кейлогер или программку вычисления пароля он не подсадит - у меня включена политика ограниченного использования программ с настройками "все запрещено". Конечно, можно и это обойти, но в нашей конторе таких продвинутых пользователей нет.
