Você não pode, é tão simples quanto isso.
Nós em nosso clube temos um computador com o Windows 7 Professional que todos os membros do clube podem usar. E todo mundo tem sua própria conta separada.
Essas contas precisam ter privilégios de administrador, pois quero que todos possam instalar qualquer software e usar qualquer recurso que quiserem. No entanto, existe uma única coisa que eles não deveriam poder fazer - isto é, olhar para os perfis de outros usuários. Agora, quando alguém vai para 'c: \ Users (qualquer nome de usuário)', aparece um pequeno aviso de que esta pasta está protegida e se você realmente quer olhar para dentro. Basta clicar em 'ok' para acessar qualquer perfil.
Eu tentei desativar a apropriação do grupo Administradores nas Políticas de Grupo, mas isso não teve efeito. Como posso efetivamente proibir os administradores que examinam os perfis e documentos uns dos outros?
Você não pode, é tão simples quanto isso.
Tente alterar o seu ponto de vista: altere todas as contas em usuários comuns e, em seguida, conceda-lhes permissão para instalar softwares, mantendo assim seus super-administradores-administradores!
Provavelmente, a melhor solução é que cada usuário criptografe seus arquivos usando o EFS. Embora você não possa impedir que outros administradores listem o conteúdo de cada pasta, o EFS criptografará os arquivos onde nem mesmo um Administrador pode descriptografá-los, a menos que tenha recebido uma cópia da chave privada ou de um certificado de backup.
Como o grupo Administrador está integrado, você não pode alterar as permissões para ele.
Se você deseja proteger arquivos de outros administradores ou restringi-los a um grupo específico, você deseja usar as ACLs. Mas todos os administradores podem se apropriar de arquivos. No domínio ou na política de segurança local, altere a propriedade dos arquivos para um grupo específico e seus membros.
O segundo método é mais suave, mas perigoso. Se você usar o EFS, ninguém poderá roubar, visualizar, copiar ou usar seus arquivos. Mas você ainda precisa proteger seu certificado efs e escondê-lo em um local seguro / pessoal.
mais, se uma conta de administrador tiver permissão do agente de recuperação do EFS, ele poderá descriptografar seus arquivos.
Você pode alterar a propriedade da sua pasta para a sua única (remover todos os outros usuários).
Mas o truque só impede que outros administradores mantenham a propriedade. Se eles não sabem como alterar a propriedade, você está seguro.