Windows AD 如何設定使用者相關權限

各位新年好

最一直在問關於AD奇怪的問題

有先行上網爬過文章
但實在看不懂

又需要在短時間內做好相關設定

目前只知道把使用者加入群組裡面

但不清楚如何分類、設定具有管理權限的使用者
以及一版使用者

我需要的設定是
規定加入網域的使用者不能更改電腦裡所有的設定

例如加入網域後不能更改網域名稱來跳出網域環境
或者不能更改網路等等相關電腦設定

以及不能安裝軟體


也就是說在操作這些動作時
都一定要輸入管理者權限的帳號密碼



我目前知道的方式
有把一般使用者建立一個群組統一存放

但還是無法正常管控
我有試著安裝google chrome 還有 LINE
但是只有跳出一次輸入帳號密碼的視窗
而且我也沒有輸入

還是可以安裝軟體

之後也有沒有再跳出來了