ja korrekt, es gibt keine eigentlichen administrator accounts. es geht hier um useraccounts, welche auf den entsprechenden systemen in der lokalen administratoren gruppe eingetragen sind da sie halt einfach diese rechte benötigen. ich möchte hier jetzt nicht näher darauf eingehen. leider kann ein jeder, der auf einem member server administrator ist, diesen auch promoten. zwar nicht in eine bestehenden domain, da er ja nicht zwingend diese rechte besitzt, aber er kann z.b eine neue domain erstellen... bitte keine weiteren fragen über sinn/unsinn darüber ;-) es geht einfach darum die ausführung von dcpromo zu vermeiden.
leider geht dies aber nicht mit "Angegebene Windows-Anwendungen nicht ausführen". Diese einstellung verindert nur das starten von entsprechenden anwendungen über den explorer. über eine cmd box lassen sich die anwendungen dann doch wieder starten....