Если я изменяю групповые полити - то изменения/ограничения касаются всех пользователей. А как ввести ограничения только для одного конкретного пользователя?

например, какие именно ограничения?

Ну, например, в административных шаблонах пользователя можно запретить отображение значков на рабочем столе, поотключать пункты "Выполнить", "Настройка", запретить установку программ, разрешить запуск только указанных программ. В NT4 такое можно было сделать через poledit.exe. А вот с win2000 я не общался, не знаю.

Создай отдельный OU перемести туда юзера и накрывай его политикой, но ИМХО все же постараться найти похожих юзеров, в смысле, тех кому можно применить такую политику, а не делать для каждого юзера отдельные политики.
Еще можно сделать запрещением чтения этой политики для всех юзеров в томе OU, что и данный пользователь, кроме него, на вкладке безопастность.

У меня отдельно стоящая машина, без AD и PDC. Тут как быть?

Guest
и все пользователи пользуются одним этим компом?

Вот тут обсуждалось:
http://forum.oszone.net/topic.cgi?forum=3&topic=977
Старинная тема, мною начатая :)

Похожая ситуация как у Guest, а. Как применить политики только к определенной учетной записи. Т.е. Есть "Гость" и есть "Администратор" Нужно чтоб политики распространялись только на Гостя.

У меня отдельно стоящая машина, без AD и PDC. Тут как быть? »
В смысле машина не из домена? Тут групповые политики не помогут. Настраивайте локальные политики.
Похожая ситуация как у Guest, а. Как применить политики только к определенной учетной записи. »
А как ввести ограничения только для одного конкретного пользователя? »
Если через ГП, то можно не создавать отдельные OU, а применять политику хоть на весь домен сразу, но в фильтре безопасности указать только одну требуемую учетную запись пользователя, группы или компьютера.

Если машина все же не в домене - то никак. Локальная политика будет применяться на всех пользователей

Возник еще один вопрос по групповым политикам. А именно связка GPO+IE. Server 2003 (домен отсутствует)
Укажите, где в GPO можно внести определенное количество сайтов, на которые пользователь может зайти? Т.е. грубо говоря, при открытии IE, пользователь попадает на домашнюю страницу + может зайти допустим google.com. На остальные доступа не имел.

Мдя...
Коллеги.
Групповые политики применимы ТОЛЬКО для участников домена, в рабочей группе о них не может быть и речи.
В этом случае остаются только локальные политики но они имеют только базовый функционал.

Devils0411, в вашем случае нужен правильно настроенный файервол.
Guest, в вашем случае
1. пользователь не должен иметь права администратора и он не сможет ставить программы
2. посмотрите на http://www.winsecurity.ru/articles/protect-public-computers-windows-steadystate-part1.html или поищите твикер который не убивая систему сможет предоставить нужные функции

zero55, А ни кто и не говорит, что GPO применимы к рабочей группе. GPO применима к домену в целом, и к локальному ПК, на котором эти групповые политики применяются.
Devils0411, в вашем случае нужен правильно настроенный файервол. »
т.е. средствами политик этого не сделать?

настроить файервол средствами GPO можно только в связке AD + Win7 но стандартной методики нет т.к. придется мучаться с правилами
исходящие на 80 порт разрешить только для таких адресов
исходящие на 443 порт разрешить только для таких адресов

для WinXP есть тоже настройка файервола (встроенного) но для того что бы ее сделать понадобится не один ящик пива :)

и в том и в другом случае затраты (AD+GPO) на реализацию и контроль довольно велики и поэтому я рекомендую в сторону нормальной прокси (если она есть).
Если речь идет про домашний ПК или ПК в рабочей группе то
1. для вин 7 можно подпихнуть скриптом преднастроенный профиль
2. для ХРюши вариантов нет