Я прошу прощения, если это совсем примитивный вопрос. Мне нужно ограничить одного пользователя в домене, чтобы он не мог использовать некоторые программы на терминальном сервере (Office, InternetExplorer). Пользователь в данный момент находится в группе, которой открыт доступ на терминальный сервер. Где находятся политики AD, которыми можно сделать это ограничение?
Заранее благодарю!

хм. создать еще 1 группу. запретить ей терминальный доступ (или запретить ей конкретный список запускаемых программ). и загнать этого пользователя в эту группу.

Ограничение списка запускаемых программ при помощи групповых политик (http://www.windowsfaq.ru/content/view/694/90/)
leonty,
Внимательнее читайте
чтобы он не мог использовать некоторые программы на терминальном сервере »

Спасибо за ответы! Буду пробовать.
Но хочу ещё уточнить. Если мой пользователь будет в двух группах: Terminal User(чтобы имел доступ к терминалу) и Restricted(с ограничениями программ), не наследует ли он "лучшие" политики от Terminal User или же наследование будет по наибольшим ограничениям? (надеюсь, что более-менее понятно изложил). Я не могу дать дополнительные запреты на группу Terminal User, потому что в ней сотоят множество других пользователей.

monkkey,
(или запретить ей конкретный список запускаемых программ) »

Ограничение списка запускаемых программ при помощи групповых политик »

Прочитал это руководство, по-моему это то, что мне нужно. Только я не вижу на своём сервере необходимых политик. Например Параметры безопасности – Политики ограниченного использования программ - у меня напрочь отсутствуют. Мне дали аккаунт администратора домена, я думал, что у него есть все возможности на сервере. Но похоже это не так. Буду требовать полноценный администраторский доступ.

Endy1,
Проверьте, входят ли администраторы домена в локальную группу "Администраторы" (если это не DC)

Проверьте, входят ли администраторы домена в локальную группу "Администраторы" (если это не DC »

Да, входят.
Я наверное что-то не так понял. Будем разбираться :)
Имеются 2 сервера. DC - контроллер домера и TERMINAL - терминал. Пользователь должен подсоединяться к TERMINAL, чтобы использовать одну единственную программу. На сервере TERMINAL нужно ограничить использование других программ, но только для этого пользователя или для его группы.
Если я верно понял, это ограничение можно прописать на DC - контроллере домена, а не на самом терминале? Но на DC я не могу найти где установить эти политики.
А вот на TERMINAL я их нашёл в Local Security Settings. Может быть эти правила установить на самом терминале в локальных настройках безопастности.
Но к кому эти настройки будут применены: ко всем пользователям терминала или только к тому пользователю из под аккаунта которого я делаю изменения (естественно это можно сделать только с указанием пароля админа)?

Только я не вижу на своём сервере необходимых политик. Например Параметры безопасности – Политики ограниченного использования программ - у меня напрочь отсутствуют. »
Ну правильно. если Вы их ниразу не настраивали, значит их еще нет. Для начала нужно создать. Мне дали аккаунт администратора домена, я думал, что у него есть все возможности на сервере. »
все у него есть.Посмотрите в каких группах состоит Ваша учетная запись.
Буду требовать полноценный администраторский доступ. »
А вот с этим я не согласен. Я конечно не знаю Ваших знаний, но мне кажется рановато еще для одмина домена. Это имключительно мое ИМХО, и я не хотел Вас обидеть. У меня например тоже нет прав админа в нашем домене. И я как то не парюсь. Когда коллеги посчитают что я уже достоин почетного звания администратора домена, тогда и дадут. (:
Если я верно понял, это ограничение можно прописать на DC - контроллере домена, а не на самом терминале? »

Правильнее всего будет настроить на DC и через GPO разрулить. Но к кому эти настройки будут применены: ко всем пользователям терминала или только к тому пользователю из под аккаунта которого я делаю изменения »
Если групповые политики домена не перекрывают локальных политик, то преобладать будут политики заданные локально на терминальном сервере и распрастраняются они, как мне кажется, только на локальных пользователей этого сервера.