Добрый день Мужчины!!!

Ситуация такая:

Есть Small Business Server 2008. Как настроить, чтобы пользователи в домене могли делать всё на своём (локальном) компьютере кроме править реестр.

Ссылки приветствуются.

Зарание спасибо за помошь.

через GPO

sashok60, )) порадовал. Я знаю что через GPO, но ключевое слово в моём вопросе это "Как". Как это сделать...

Есть Small Business Server 2008. Как настроить, чтобы пользователи в домене могли делать всё на своём (локальном) компьютере кроме править реестр. »
Вы лучше объясните, какая цель преследуется, какой вы хотите получить результат?

Цель я вроде написал - чтобы пользователи в домене могли делать всё на своём (локальном) компьютере кроме править реестр. »

Результат - чтобы все работали в домене. Просто многие пользователи не заходят в домен, а работают локально на своём компьютере. Многие жалуются что права обрезанны. Вот и хочется сделать пользователей с полными правами, но без возможности правки реестра... ну и доступ к службам закрыть.
Вот.

Вот и хочется сделать пользователей с полными правами, но без возможности правки реестра... ну и доступ к службам закрыть »
Это невозможно по определению. Даже если закрыть доступ к реестру - пользователь с полными правами доступ восстановит.
Давайте лучше обсудим, каких-таких прав не хватает пользователям, когда они работают под ограниченной учетной записью, будучи в домене.
PS: отключив локальные УЗ - вы тем самым вынудите пользователей работать в домене.

Отключить локальные УЗ не хочется. Я планирую удалить все локальные учётки пользователей и оставить только локального Админа и всё. У пользователей всё-равно не будет доступа к компьютеру.

....каких-таких прав не хватает пользователям, когда они работают под ограниченной учетной записью... »

Главное чтобы пользователи имели права на Установку/Удаление программ и драйверов.

Главное чтобы пользователи имели права на Установку/Удаление программ и драйверов »
По драйверов. Можно предоставить право в политике
конфигурация компьютера - конфигурация windows - параметры безопасности - локальные политики - назначение прав пользователя - загрузка и выгрузка драйверов устройств.
Установка\ удаление программ - это делегируется индивидуально для каждой программы - и лучше, чтобы это делал специально выделенный человек с правами администратора.

Установка\ удаление программ - это делегируется индивидуально для каждой программы - и лучше, чтобы это делал специально выделенный человек с правами администратора. »

Я так понял, что не получится настроить GPO таким образом, чтобы пользователи могли устанавливать любые программы без Админа???

Я так понял, что не получится настроить GPO таким образом, чтобы пользователи могли устанавливать любые программы без Админа??? »
Правильно поняли. Для этого пользователям нужны права администратора. Кстати, что это за пользователи такие, что у них нет четкого списка программ для работы?

У нас IT компания. Всегда надо что протестировать, установить или поставить и т.д. т.п Просто очень много сотрудников набралось и начальство захотело домен и чтобы все в нём работали....

.....Спасибо Ivan Bardeen. ....буду думать.))

И что решил? дать всем права админа? ))

:idontnow:

А лучше сделать так:

"Вы можете запретить запуск редактор реестра


Для этого в разделе HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System нужно добавить ключ DisableRegistryTools со значением 0х00000001 типа DWORD. Запуск редактора реестра будет запрещен, однако останется возможность вносит изменения с помощью программного обеспечения сторонних разработчиков и с помощью REG-файла"