[SCCM / SMS] 我在单位做了域和sms

我在单位做了域和sms,把用户Domain Users通过受限制的组加入power users,在这种模式下sms工作的很好安全上没有什么大问题，可是用户反映出现有些软件不能用了（是权限的问题），我还得一一给与解决不但没有轻松反倒活多了。
我一气之下把用户Domain Users通过受限制的组加入administrators,这一回轻松了用户什么都可以干了，可是问题又出来了sms正常工作基于客户端打开系统共享和远程注册表，现在所有域用户都可以读写其他用户系统共享和远程注册表，出现重大安全漏洞。

我又想把用户Domain Users通过受限制的组加入power users，然后定制提高power users的权限以满足用户基本需求，可是研究组策略很长时间也没有找到方法。

这个问题困扰我很长时间了，那位大侠给与解决谢谢