Большинство пользователей имеет права локального администратора на своем ПК, так как им нужно ставить софт, удалять, запускать от имени администратора. Все работают от доменных учеток.
Можно ли запретить им переименовать ПК, менять сетевые настройки, изменять локальные учётные записи пользователей?
Нет такого разграничения прав - ты или администратор или нет. Правильней было бы убрать пользователей из группы администраторов, если речь о том, что бы пользователи не накрутили лишнего.
Бывает у пользователя спецсофт который не работает без админских прав, ну вот ваще никак. Тогда я создаю Локальную админскую учетку и учу запускать софт через неё. Если юзверь не намерен навредить себе он не станет использовать учетку во вред, данные учетки не связаны с доменом, данной учетке можно запускать только эту программу и никакие другие.
В любом случае если пользователь слишком продвинут и захочет захватить владение компьютер при физическом доступе к нему - он это сделает, но упрощать ему жизнь точно не стоит.
