Unter Windows XP hat die seit NT-Zeiten bekannte Gruppe "Hauptbenutzer" eine neue Bedeutung bekommen. War sie vorher dazu da, Benutzern einige wenige zusätzliche Möglichkeiten zu geben, so dient sie unter XP dazu, die Kompatibilität mit alten Windows-Anwendungen herzustellen, die unet XP mit normalen Benutzerrechten nicht funktionieren. Das heißt: Eigentlich kann der Hauptbenutzer fast alles, was [...]

Es gibt leider keine einfache und hundertprozentig verlässliche Möglichkeit, diese Information zu erhalten, weil das System sie nirgends vorhält. Mögliche Ansätze wären:

Gar nicht. Programme dürfen von Administratoren und von Hauptbenutzern installiert werden. Software, die keine "echte" Installation (Reg-Einträge usw.) erfordert, kann von jedem Benutzer installiert werden.Die einzige Möglichkeit, das Installieren wirklich sicher zu verhindern, besteht darin, eine Whitelist aller erlaubten Anwendungen zu definieren, die eben keine Setup-Programme usw. enthält. Das kann man über Software Restriction Policies [...]

Windows bietet zu vielen Dateitypen ein Standardprogramm zur Bearbeitung an. Dies wird automatisch mit der Datei gestartet, wenn man diese per Doppelklick aufruft. Dabei verknüpft Windows immer nur ein einziges Programm fest mit dem Dateitypen. Oft wünscht man sich ein zusätzliches oder alternatives Programm dafür. Zusätzlich zur festen Verbindung bietet Windows mehrere Möglichkeiten. Eine besteht [...]

Wenn ein SID bekannt ist (beispielsweise weil er in einer Berechtigungsliste auftaucht), aber der Name dazu fehlt, kann man sich mit einem VB-Skript behelfen. Eine andere Variante wäre das Tool SID2User.

Neben der Möglichkeit, für den gerade angemeldeten Benutzer mit dem Tool "whoami.exe" (Resource Kit bzw. bei Windows 2003 im Lieferumfang) das Access Token auszulesen, das alle Gruppenmitgliedschaften verzeichnet, kann man das Feld "tokenGroups" im AD auslesen. Ein Tool des MVP-Kollegen Richard Mueller liest diese Daten aus und stellt sie übersichtlich dar: http://www.rlmueller.net/IsMember4.htm.

Das ist recht komplex. Es gibt zwar einen LDAP-Query, den du bei WS2003 in den Gespeicherten Abfragen verwenden kannst, der funktioniert aber nur, wenn du die Konten gesperrt lässt oder wenn du den Query bei jeder Ausführung anpasst. 

Windows-Server kennen zwei (bzw. drei) Modelle, wie die Client-Zugriffe lizenziert werden. Erforderlich sind dabei "Client Access Licenses" (CALs), die in jedem Fall gleich viel kosten. Vorsicht: Eine CAL für Windows 2000 Server berechtigt nicht zum Zugriff auf einen Windows Server 2003!

Dazu gibt es keine Möglichkeit, die ausreichend sicher ist. runas selbst kennt den Schalter /savecred, mit dem man einmalig die Anmeldedaten speichern kann. Aber dann kann man den Sicherheitsfaktor auch gleich bleiben lassen.

Hier die beiden wichtigsten Hilfsmittel: Die Microsoft Knowledge Base Die Event-ID-Datenbank eventid.net