Como pode ser provado que os usuários não podem instalar o software em sua máquina local sem ter privilégios de administrador local?
Os proprietários do sistema podem visualizar o GPO e mostrar que os únicos grupos com acesso a BUILTIN \ Administradores são domain\Domain Admins e domain\CustomAdminGroup , mas não podem fornecer nenhuma evidência de que a capacidade de instalar software seja restrita a esse grupo. Existe uma configuração que imponha essa restrição ou uma configuração que diz o corolário (os administradores não locais não podem instalar o software)?
Como alternativa, há documentação da Microsoft que diz Software installation privileges are inherently only available to the Local Administrators ?