Wie gesagt, ich weiß nicht, ob das zentral geht. Im Prinzip geht man zum entsprechenden Objekt und vergibt an diesem Objekt die entsprechenden Rechte. Berechtigungen sind Eigenschaften der Objekte und nicht der Gruppe. Gruppen enthalten nur die Benutzer und sonst "nichts" (paar Metainfos (erstellt am, geändert am,...) ausgenommen).
In Unternehmen gibt es oft sowas, dass Admins keine "vollen" Admins sind. Beispielsweise gibt es Leute, welche nur das Passwort von Benutzern (keinen Admins) zurück setzen dürfen. Dann gibt es welche, die dürfen Benutzer anlegen. Andere dürfen Software auf den Clients ausrollen, wieder andere dürfen die Policies anpassen usw.
Aber das sind alles Sachen, die auf einen "Stand-alone" Windows PC nicht zutreffen. Dort gilt in aller Regel:
Es gibt Admin-Rechte und die dürfen alles bzw. dürfen sich selber die Rechte geben um alles zu dürfen. Und es gibt eben die normalen Benutzer, die auf ihre Daten zugreifen können, festlegen, wer noch auf ihre Daten zugreifen darf und auf Daten von anderen zugreifen dürfen, wenn diese für sie berechtigt wurden.
Wenn aber jemand Rechte hat um Software (und damit meine ich keine Store-Apps) zu installieren (Schreibzugriff auf c:\windows\system32 und die Registry), dann kann er auch Schmutz machen. Man hat die Rechte, oder eben nicht. Das ist wie Schwanger sein. Man ist es, oder nicht. Bisschen schwanger geht nicht.