Есть некоторая группа в домене, пользователям входящим в нее нужно дать право установки приложений на всех компах домена.

С restricted groups в GP пробовал играться, добился получения прав локального админа, но сие не есть хорошо, хотелось бы дать им права только на установку.
Жду вариантов и уточняющих вопросов.

Установка программ = привилегии администратора.
Точка.

права только на установку. »
Установка произвольных программ подразумевает запись файлов во все системные каталоги и изменение всех системных разделов реестра, то есть всего того, что должно быть доступно только пользователям из группы "администраторы".

Эвоно как... Хорошо, тогда подскажите еще один момент.
Делал все что было указано выше следующим путем:
Зашел в групповые политики - Конфигурация Windows - Параметры безопасности - Группы с ограниченным доступом. Создал группу "Администраторы" как на локальной машине. Добавил группу пользователей.
На локальной машине пользователь получил права админа, но проблема в том что эта самая группа попала и в группу Administrators в домене, что дало права доменного админа.
Что я сделал не так?

Что я сделал не так? »
Применили политику к контроллерам домена.

Telepuzik, вроде понял. Делал в одной из ранее использовавшихся политик, на все машины вообще применялась.

В конфигурации Restricted Groups нужно перечислить всех членов без исключения, если вы описываете именно BUILTIN\Administrators.
То, что пропали группы и пользователи, не описанные политикой, — совершенно нормально.
Всегда сначала проверяйте действие политик на тестовом OU.

Я многое сделал неправильно. Теперь допилил следующим образом:
Групповые политики - Конфигурация Windows - Параметры безопасности - Группы с ограниченным доступом.
Создал группу "LocalAdmins" как в домене, указал "Эта группа входит в:"

Administrators;
Администраторы;

Теперь все в шоколаде: все добавленные в группу LocalAdmin (в домене) получают права локального админа.