Olá.
1°) INSTALAR/DESINSTALAR PROGRAMAS
Difícil conseguir essa permissão sem ser administrador local
Sugestão: Crie um grupo de segurança do AD que conterá as contas que serão administradoras nas estações de
trabalho. Crie uma política para modificar os "Grupos Restritos".
Veja: http://www.blogdodanilo.com.br/2013/07/definir-administrador-local-via-gpo.html
Dica: Assegure-se de que haja complexidade na senha dos usuários que serão administradores locais e que ela
seja alterada de tempos em tempos.
2°) TIRAR E COLOCAR MÁQUINAS NO DOMÍNIO
Crie um grupo ou use o que foi criado anteriormente para delegar esse tipo de permissão.
Dica: Na OU que contem as contas de computadores, crie uma delegação, para o grupo adequado, somente a objetos
de computador e deixe com o mínimo de permissão (você vai alterar isso). Feito isso, vá na guia segurança dessa OU e em permissões avançadas, encontre a entrada referente à delegação feita anteriormente. Edite essa entrada removendo todas as permissões e mantendo
somente as seguintes: Change Password e Reset Password. Acredito que isso vai bastar.
3°) INSTALAR IMPRESSORAS
Consequência do Passo 1 e possível permissão na fila de impressão ao usuário final.
4°) NÃO DEVEM TER ACESSO AOS ARQUIVOS EM REDE
Vai depender de suas configurações
5°) MAPEAR UNIDADES DE REDE
Só depende dos acessos que o usuário final tem no compartilhamento.
https://inframicrosoft.wordpress.com/
