Pas besoin de GPO, il faut simplement changer de paradigme: utilisation d'un serveur Ansible pour push des nouvelles conf + un EDR pour contrôler que...
Absolument pas, sudo ne donne que les droits spécifiés dans un sudoers. Et vous allez me dire que les Windowsiens comprennent ce qu'ils font et quand...