ну я так и понял..
основной режим разрешает универсальные группы безопасности, вложения групп и несколько изменяет разрешения для prewindows 2000 (кажется просто убирается группа ВСЕ из нее, тем самым сокращая права)
кстати, вот такой сценарий писать:
net user администратор newpassword это слабая защита от особо умных пользователей, тк все это хранится в открытом виде. Ну например попробуйте выполнить поиск по слову
Администратор или уж
net user - и, скорее всего, вы найдете ответ на вопрос о пароле
)
Нельзя запретить локальным администраторам изменять челнство в их группе. Но если они будут выкидывать Администраторов домена - то это уже, извините, беспредет и решается административными методами и наказываться должен как подрыв безопасности.. если не помогает, "сверх умных" просто убирать из локальных администраторов.
Администратора домена никак нельзя ограничить.. никак.
просто пишется скрипт на подобии: net localgroup administrators domain\administrators /add и назначается на старт компьютеров. Т.о. каждый раз при загрузке компьютера администраторы домена восторжествуют..
или другой вариант - через групповую политику - группы с ограниченным доступом - добавить новую запись Administrators (или Администраторы для локализованных клиентских ОС) и указать что членами этой группы должны всегда являться domain\administrators (или domain\администраторы, если ДК - локализован). НО!!! следует быть осторожным и для подобных настроек создавать новый объект групповой политики и прилинковывать его на отдельные организационные подразделения (с объектами компьютер на которых работают "умные" пользователи), тк притакой настройке ограниченной группы на всех компьютеры, которые попадут под действе этой политики в локальной группе администраторы останутся только локальная учетная запись Администратор (ее удалить никак нельзя) и та группа, которую вы казали - те domain\administrators, а все остальные учетные записи будут выброшены из локальных админов. В этом неудобство этого подхода.
