Доброго время суток уважаемые, собственно проблема заключается в том, как запретить установку любых программ локальному администратору средствами AD, то есть не работая с каждым пользователем индивидуально на его ПК.

обычно локального администратора вообще отключают в домене

Destruction, дело в том что под ним работает пользователь, а про отключение этот уже другой вопрос...

как запретить установку любых программ локальному администратору »
Никак.

обычно локального администратора вообще отключают в домене »
Это что то новенькое. Гораздо проще для последующей работы установить пароль на администратора, чтобы впоследствие при проблемах в сети можно было зайти локально.
Destruction, дело в том что под ним работает пользователь »
Зачем тогда домен, если пользователь работает под локальным админом?

А вообще monkkey прав, ответ - никак :)

Destruction, дело в том что под ним работает пользователь, а про отключение этот уже другой вопрос... »
Пользователь под правами админа работать не должен, и точка.
Delirium, скорее всего, доменного пользователя на машине просто добавили в группу администраторов по какой-то причине технического характера.
Тем не менее, если какая-то программа, написанная "программистами жопой", требует для работы админские права, нужно отследить, какие ресурсы она пытается использовать, и дать пользователю разрешения конкретно на эти ресурсы.
Procmon.exe вам в помощь...

El Scorpio, причина вопрос заключается в лени просто не хочется отслеживать, а с тем что пользователь не должен работать под админом я согласен полностью.
Думаю вопрос исчерпан, благодарю за ответы.

вообше если постараться можно и запретить установку и запуск каких либо программ.
только ещё больше работы.
для начала включить software restriction policy/

у меня включён учитывая что даже я сам не админ и даже не локальный.

merdzd,
Если локальный админ захочет, то он все ограничения отменит.

Да остановимся на том, что Microsoft не поощряет лентяев :)