Delegar algumas funções administrativas, mas não todas?

Além de definir permissões de arquivo para os grupos relevantes (na máquina local ou idealmente por meio da política de grupo em Configuração do Computador> Configurações do Windows > Configurações de segurança > Sistema de arquivos), também é possível conceder "privilégios" específicos para grupos. A documentação da Microsoft está disponível aqui:

link

Em resumo, você precisa criar ou editar um GPO e, no console da Diretiva de Grupo, vá para Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas locais > Atribuição de direitos de usuário.

Alguns dos nomes de políticas podem exigir um pouco de interpretação (para dizer o mínimo). Por exemplo, o direito "Carregar e descarregar drivers de dispositivo" controla a capacidade de instalar impressoras.

Dependendo de como você implementa sua implementação nas estações de trabalho em sua rede, você pode criar um grupo de usuários considerado administrador e restringir os direitos de acesso caso a caso.

Portanto, se você usar um sistema como o Symantec Ghost para configurar todas as suas estações de trabalho, basta acessar a caixa de diálogo de permissões (clique com o botão direito na pasta > propriedades > guia de segurança) para definir as áreas que você deseja que o usuário não tenha acesso. Apenas certifique-se de que, ao fazer isso, seja executado recursivamente em todas as subpastas.

Quaisquer direitos que você queira remover terão que ser feitos caso a caso, seja por manipulação do registro ou removendo os mais simples através da caixa de diálogo de segurança / permissões do Windows.