Forneça uma conta separada com permissões de administrador que eles possam usar para esses tipos de atividades. O usuário não teria acesso conveniente a seus recursos de rede (documentos e e-mails) com essa conta, portanto, eles não estariam inclinados a usá-lo o tempo todo. Eles podem usar a conta privilegiada principalmente para o prompt do UAC ou, talvez, até mesmo fazer logon com uma área de trabalho completa para casos de limite limitado.
Se a conta for uma conta de domínio, ela precisará ser registrada pelo menos uma vez enquanto estiver conectada à rede para que possa ser usada (para armazenar em cache as credenciais).
Observe que, para que isso funcione, seria necessária a imposição do grupo Administradores usando a Diretiva de Grupo ou a auditoria para garantir que eles não tenham sido adicionados ao grupo Administradores. Existem várias abordagens.
Na verdade, fazemos isso usando uma conta local com o mesmo nome de conta em cada computador, o que facilita a configuração para a imposição de GPO. Mas há problemas de gerenciamento associados à rotação de senhas para contas locais. Se você estiver satisfeito com o usuário que gerencia a senha da conta local, a abordagem da conta local provavelmente funcionaria para você e não precisa se preocupar com credenciais em cache com contas locais.
Você também pode estar interessado em saber que o grupo Usuários avançados não tem os privilégios que ele executou no Windows XP (felizmente). No entanto, se você realmente quiser filmar a si mesmo, é possível aplicar um modelo de segurança a arquivos de sistema, pastas e configurações de registro e privilégios para conceder aos Usuários Avançados o nível anterior de acesso.
As permissões e os direitos foram removidos do grupo Usuários avançados do Windows Vista
link
Direitos do usuário link