Возникла необходимость создать новую учетную запись для входа через удаленный рабочий стол.

Столкнулся с тем, что любая группа кроме администраторов получает "Отказ в доступе"
(видимо это как-то связано с лицензией терминалов итп, точно не знаю).
А поскольку цель стояла просто закрыть новой учетной записи доступ к системному диску и нескольким директориям на другом, нарисовалась проблема - закрыть-то все закрыто, вот только вкладку "Безопасность" у этого пользователя отключить я не могу и он сам в состоянии поменять права и сделать заблокированные папки открытыми :)
Подсобите нубу советом.

любая группа кроме администраторов получает "Отказ в доступе"
KB289289 (http://support.microsoft.com/kb/289289/en-us) читали?
А также Пуск -> Выполнить -> tscc.msc -> Подключения -> Свойства -> вкладка Разрешения.

Столкнулся с тем, что любая группа кроме администраторов получает "Отказ в доступе"
(видимо это как-то связано с лицензией терминалов итп, точно не знаю).
Это связано с тем, что вы не внесли этого пользователя в группу Пользователи удалённого рабочего стола.

Petya V4sechkin, Angry Demon, все это учтено и выполнено...

все это учтено и выполнено
Что именно?

KB289289 читали?
А также Пуск -> Выполнить -> tscc.msc -> Подключения -> Свойства -> вкладка Разрешения. »
внесли этого пользователя в группу Пользователи удалённого рабочего стола »
Все это и не только, где нужно везде все добавлено и прописано... я так думаю.

Т.е. у "неосновных администраторов" вкладку "безопасность" отключить нельзя?

Т.е. у "неосновных администраторов" вкладку "безопасность" отключить нельзя?
Можно (в политике), но лучше разберитесь с доступом.

Все это и не только
Значит, и в Пуск -> Выполнить -> secpol.msc -> Локальные политики -> Назначение прав пользователя -> параметры "Запретить вход в систему через службу терминалов" и "Разрешать вход в систему через службу терминалов" тоже смотрели?

Запретить вход в систему через службу терминалов »
ASPNET
Разрешать вход в систему через службу терминалов »
Пользователь прописан

Еще раз уточню, если пользователя добавить в группу администраторов, вход осуществляется без проблем.

Можно (в политике) »
Смотрел там, уточните пункт пожалуйста.

Службы терминалов (http://technet.microsoft.com/ru-ru/library/cc786615(WS.10).aspx)
Роль сервера терминалов: настройка сервера терминалов (http://technet.microsoft.com/ru-ru/library/cc779334(WS.10).aspx)

А обязательно лицензирование сервера терминалов?
Мне хватает средства «Администрирование удаленного рабочего стола», если я вас правильно понял.

VV189,
«Администрирование удаленного рабочего стола» »
доступно только членам группы "Администраторы", не требует дополнительного лицензирования, возможно не более двух одновременных подключений. В иных случаях требуются дополнительные лицензии на подключения клиентов.

Мое предположение оправдалось.
Так какие шаги мне нужно сделать для того чтобы запретить второй учетной записи менять разрешения на директории через вкладку "Безопасность"?
Или этого нельзя сделать?

Мое предположение оправдалось.
Так какие шаги мне нужно сделать для того чтобы запретить второй учетной записи менять разрешения на директории через вкладку "Безопасность"?
Или этого нельзя сделать? »

для этого необходимо создать явный запрет:
добавить данного пользователя в acl с запретом "смена разрешений":
безопасность\дополнительно\(выбрать этого пользователя)\изменить

поскольку пользователь уже входит в группу администраторы, разрешения ставить не надо, единственная "галочка" должна стоять в столбце "запретить" напротив параметра "смена разрешений"

Однако хочу отметить, что вы пошли не правильным путем.
Во-первых, правильнее будет разобраться как дать пользователю права на удаленный рабочий стол, нежли давать ему привилегии администратора, а потом их пытаться урезать.
Во-вторых, привилегии администратора распространяются гораздо выше, нежли смена нтфс разрешений, а значить ни кто не мешает ему, к примеру, создать еще одну учетную запись с теми же правами и от ее имени снять с себя запрет и это самый долгий способ, права можно просто сбросить. Либо заломать что-нибудь еще.
В-третьих,....
еще раз подумайте, вы даете права АДМИНИСТРАТОРА,... тут такое раздолье, что перечислять устанешь.
Всегда следуйте главному принципу безопасности - ни у кого не должно быть привилегий больше, чем необходимо для выполнения своих служебных обязанностей.

создать еще одну учетную запись с теми же правами и от ее имени снять с себя запрет »
Действительно, о подобных моментах я не думал...
Вот теперь совсем в замешательстве.
правильнее будет разобраться как дать пользователю права на удаленный рабочий стол »
Исходя из написанного выше «Администрирование удаленного рабочего стола» доступно только членам группы "Администраторы" »
Может с фтп пошаманить проще будет для открытия доступа к нужному каталогу? :)

доступно только членам группы "Администраторы"
Откуда такие сведения, можно ссылку на источник?

Пользователь прописан
В политике "Разрешать вход в систему через службу терминалов" должны быть две группы: Администраторы и Пользователи удаленного рабочего стола.

Petya V4sechkin,
http://technet.microsoft.com/ru-ru/library/cc776114(WS.10).aspx
С помощью средства «Администрирование удаленного рабочего стола» администраторы имеют возможность управлять компьютерами, работающими под управлением операционных систем семейства Windows Server 2003.
Речь же не идет об обычном подключении.

Создаётся пользователь.
Добавляется в группу удалённого пользования. И дальше ему ограничиваются папки. Полностью доступ к системному диску закрыть не возможно. так как при таком раскладе не будет грузиться профиль данного пользователя.
А пользователи по умолчанию не имеют прав на изменения правил к папкам. Проще всего в АД сделать соответствующие группы одной дать права на удалёнку (Без терминал сервера работать не будет) и дать разрешение на действия и папки и всё.

С помощью средства «Администрирование удаленного рабочего стола» администраторы имеют возможность управлять компьютерами
Вы полагаете, что группа "Пользователи удаленного рабочего стола" вообще не нужна? А ее название всех вводит в заблуждение?

Ладно, по ссылке
Подключение к средству «Администрирование удаленного рабочего стола» (http://technet.microsoft.com/ru-ru/library/cc783040(WS.10).aspx)

Убедитесь в наличии необходимого разрешения на использование средства «Администрирование удаленного рабочего стола». Для этого необходимо быть администратором или участником группы «Пользователи удаленного рабочего стола».

Чтобы не быть голословным, провел простой эксперимент: на обычном сервере (без установленного сервера терминалов) добавил учетку пользователя (не админа) в группу "Пользователи удаленного рабочего стола" и без проблем подключился.


VV189, сервер, к которому подключаетесь, случайно не контроллер домена?

сервер, к которому подключаетесь, случайно не контроллер домена? »
Насколько я знаю - нет.

Насколько я знаю - нет.
То есть, вы не уверены? :)
Пуск -> Панель управления -> Администрирование -> Политика безопасности контроллера домена есть?