Панель управления -> Администрирование -> Локальная политика безопасности
Там много всевозможных настроек. Необходимо обратить внимание на те политики, в которых стоит группа администраторов, но нет групп пользователей (провинутых тоже). Таким образом, можно добавить какому-либо пользователю прав, не вводя его в группу администраторов.
ЗЫ Глобальная политика, определенная на уровне домена перекрывает локальные политики, и соответствующие настройки надо производить в глобальной политике безопасности на контроллере домена
