Здравствуйте подскажите как правильно поступить- сбылась моя мечта я поднял домен в своей организации, но теперь возникает резонный вопрос как построить политику безопасности, мне очень прельстили возможности удаленного администрирования и логон скрипты НО как правильно завести пользователей так чтобы левый человек не смог удаленно залезть на чужой компьютер(возможно сделать так чтобы удаленное администрирование было доступно только с моего компа? А ели в домене возможно то как сделать чтобы с компа не вошедшего в домен тоже было нельзя? Или надо завести одного левого администратора на каждом компе и дать только ему возможность удаленного доступа?(просто мой шеф любит раздавать пароли) в общем в голове каша посоветуйте пож), какие привилегии необходимо присвоить пользователям, как правильно настроить политики какие возможности снести для них, но главный вопрос все таки это удаленное администрирование ибо больше 150 компов а я один(ибо шефу за 50) и с 1 по 6 этаж бегать по всем сложно, а безопасность важна((((( может во многом я гоню но просто домен это мой первый….

немного не с того начинаете.

1. администарторы для рабочих станций должны быть одни а для серверов другие
под учеткой администратора домена не должно выполняться никаких сервисов и ходить под этой учеткой по рабочим станциям нельзя.
2. право удаленного администрирования есть только у локальных администраторов.
Если вы не будете давать таких прав всем кому попало то этот вопрос закрыт.
3. обратите внимание на группу Powers Users и Remote Desktop Users.
Без необходимости в ней никого быть не должно

О раздаче прав:
для назначения прав локальных администраторов создайте группу в AD, например "Local Admins" и через политику Restricted Groups включите ее в локальную группу "Администраторы"

О локальных пользователях:
После настройки Restricted Groups отключите учетную запись локального администатора (в безопасном режиме она включается сама)

lopkorn86,
Читайте с нуля литературу - http://trainers2000.narod.ru/, к примеру.
http://www.google.ru/#sclient=psy&hl=ru&newwindow=1&site=&source=hp&q=%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B8%D1%80%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D 0%B5%20%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%B0%20windows&aq=1&aqi=g2&aql=&oq=&pbx=1&fp=2ea613763f2d8d89&pf=p&pdl=300
Бумажную - тоже.