> Странноничего странного - большинство людей, вот удивительно-то, на работу ходят - работать.
Остальных увольняют обычно еще до конца испытательного срока.
> Давать права локальных админов == root и червяки у Вас должны уже вчера бегать.
у нас не бегали - что мы делали не так? (а когда всех принудительно привели к счастью - я побыстрее свалил, не дожидаясь приключений - и правильно сделал, как показало время)
> Разграничить дополнительные права в линуксе ничуть не сложнее чем в винде, даже немного проще
> местами.
ну вот и начнем с самого простого - пароль рута/эквивалентного ему юзера не должен быть root.
И r00t тоже нехорошо, а вообще-то у червяка там некислый такой набор - довольно и непростые ухитряется подбирать. И?
> Хотя может все дело в слове легально
ну хотя бы беспалевно - можно, конечно, перехватить ветку регистри и принудительно там поменять параметры, даже те, которые назначаются политикой и локальным админам недоступны, но там есть аудит.
В любом случае это требует навыков существенно больше чем у типичного power user, которым является у нас любой разработчик, к примеру. А вот passwd от root набрать если от обычного юзера он выпендривается - это они сумеют.
впрочем, есть еще и smbpasswd, он в последних версиях и не выпендривается, и заодно, для вашего большего удобства, принудительно и неотключаемо синхронизирует пароль с системным ;-)
Многие ли power users бросятся после этого его менять на безопасный?