QUOTE(fedor1)
возможно ли настроить GPO таки образом, чтоб на локальной машине в вкладке локальные пользователи и группы/группы не дать пользователю видеть учетные записи в домене.
Совсем не понятно о чем речь, на локальных машинах входящих в домен во вкладке локальные пользователи и группы не отображаются пользователи домена, они отображаются тока на контролере домена, т.е. уже не понятен смысл темы, а если имелось в виду, что локальный комп это и есть контролер домена то там пользователи отображаются и вообще храняться в актив директори, а ни как не во вкладке локальные пользователи и группы, тама вообще пусто.
QUOTE
либо не дать локальному администратору в нести пользователя домена в группу локального администратора
Опять же не внять мысле, локальные пользователи ни как не связанны с домеными, соответственно локальный админ не может внести учетную запись заведенную в домене на локальный комп, он только может создать пользователя с таким же именем, ну и прочей инфой.
Политику можно настроить как угодно, их можно создать вообще несколько, но нужно описать задачу по точнее и понятней.