Смотрел здесь http://forum.oszone.net/showpost.php?p=1346404
и здесь (раздел "безопастность"): http://forum.oszone.net/thread-6615.html
+ Пролистал несколько похожих тем, но так и не понял сути:

Есть домен, заведен пользователь "Vas" (давно) с паролем "123", у пользователя есть права на доступ к нескольким ресурсам на серверах
Есть компьютер "Vasya" со свежеустановленной XP SP3 rus, пользователь по-умолчанию "Vas", пароль "123",
т.е. различие между локальным и доменным пользователем только в полном имени: "Vasya\Vas" vs "Domen\Vas".
Да, в "Сетеых паролях" чисто.
Пользователь Vas пишет в адресной строке проводника \\Server1\, получает список расшаренных папок, но войти не может - "У вас нет доступа к \\Server1\data. Возмжно, у вас нет прав на использование этого сетевого ресурса. Обратитесь к администратору этого сервера для получения соответствующих прав доступа. Отказано в доступе."
Тогда адресной строке пишет \\Server2\ и тут же получает приглашение указать логин/пароль.
"Server1" и "Server2" - компьютеры в домене, не PDC, 2003 sp1, пользователь имеет права на шары на них.

Вопрос в разном поведении доменных компьютеров - почему в одном случае запрос на логин/пароль есть, а в другом - нет и еще -
обратившись к ресурсу с одной парой логин/пароль, система помнит и спользует эту учетную запись. Как сбросить сведения об ней в системе, чтобы заново обратившись к этому же ресурсу, заново пришлось бы вводить логин/пароль (пусть даже тотже, но обязательно заново).

Вопрос в разном поведении доменных компьютеров - почему в одном случае запрос на логин/пароль есть, а в другом - нет
Точно не знаю, можно сравнить статус учетной записи Гость (включена ли), значения параметров RestrictAnonymous и RestrictAnonymousSAM (к примеру).

Petya V4sechkin,
На обоих "серверах"
- учетка гостя запрещена
ветка "Security options" выглядит так:

Accounts: Administrator account status Enabled
Accounts: Guest account status Disabled
Accounts: Limit local account use of blank passwords to console logon only Enabled
Accounts: Rename administrator account Administrator
Accounts: Rename guest account Guest
Audit: Audit the access of global system objects Disabled
Audit: Audit the use of Backup and Restore privilege Disabled
Audit: Shut down system immediately if unable to log security audits Disabled
DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax Not Defined
DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax Not Defined
Devices: Allow undock without having to log on Enabled
Devices: Allowed to format and eject removable media Administrators and Interactive Users
Devices: Prevent users from installing printer drivers Enabled
Devices: Restrict CD-ROM access to locally logged-on user only Disabled
Devices: Restrict floppy access to locally logged-on user only Disabled
Devices: Unsigned driver installation behavior Warn but allow installation
Domain controller: Allow server operators to schedule tasks Not Defined
Domain controller: LDAP server signing requirements Not Defined
Domain controller: Refuse machine account password changes Not Defined
Domain member: Digitally encrypt or sign secure channel data (always) Enabled
Domain member: Digitally encrypt secure channel data (when possible) Enabled
Domain member: Digitally sign secure channel data (when possible) Enabled
Domain member: Disable machine account password changes Disabled
Domain member: Maximum machine account password age 30 days
Domain member: Require strong (Windows 2000 or later) session key Disabled
Interactive logon: Display user information when the session is locked User display name, domain and user names
Interactive logon: Do not display last user name Disabled
Interactive logon: Do not require CTRL+ALT+DEL Enabled
Interactive logon: Message text for users attempting to log on
Interactive logon: Message title for users attempting to log on
Interactive logon: Number of previous logons to cache (in case domain controller is not available) 10 logons
Interactive logon: Prompt user to change password before expiration 14 days
Interactive logon: Require Domain Controller authentication to unlock workstation Disabled
Interactive logon: Require smart card Disabled
Interactive logon: Smart card removal behavior No Action
Microsoft network client: Digitally sign communications (always) Disabled
Microsoft network client: Digitally sign communications (if server agrees) Enabled
Microsoft network client: Send unencrypted password to third-party SMB servers Disabled
Microsoft network server: Amount of idle time required before suspending session 15 minutes
Microsoft network server: Digitally sign communications (always) Disabled
Microsoft network server: Digitally sign communications (if client agrees) Disabled
Microsoft network server: Disconnect clients when logon hours expire Enabled
Network access: Allow anonymous SID/Name translation Disabled
Network access: Do not allow anonymous enumeration of SAM accounts Enabled
Network access: Do not allow anonymous enumeration of SAM accounts and shares Disabled
Network access: Do not allow storage of credentials or .NET Passports for network authentication Disabled
Network access: Let Everyone permissions apply to anonymous users Disabled
Network access: Named Pipes that can be accessed anonymously COMNAP,COMNODE,SQL\QUERY,SPOOLSS,NETLOGON,LSARPC,SAMR,BROWSER
Network access: Remotely accessible registry paths System\CurrentControlSet\Control\ProductOptions,System\CurrentControlSet\Control\Server Applications,Software\Microsoft\Windows NT\CurrentVersion
Network access: Remotely accessible registry paths and sub-paths System\CurrentControlSet\Control\Print\Printers,System\CurrentControlSet\Services\Eventlog,Software\ Microsoft\OLAP Server,Software\Microsoft\Windows NT\CurrentVersion\Print,Software\Microsoft\Windows NT\CurrentVersion\Windows,System\CurrentControlSet\Control\ContentIndex,System\CurrentControlSet\Con trol\Terminal Server,System\CurrentControlSet\Control\Terminal Server\UserConfig,System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration,Software\Microsoft\Windows NT\CurrentVersion\Perflib,System\CurrentControlSet\Services\SysmonLog
Network access: Restrict anonymous access to Named Pipes and Shares Enabled
Network access: Shares that can be accessed anonymously COMCFG,DFS$
Network access: Sharing and security model for local accounts Classic - local users authenticate as themselves
Network security: Do not store LAN Manager hash value on next password change Disabled
Network security: Force logoff when logon hours expire Disabled
Network security: LAN Manager authentication level Send NTLM response only
Network security: LDAP client signing requirements Negotiate signing
Network security: Minimum session security for NTLM SSP based (including secure RPC) clients No minimum
Network security: Minimum session security for NTLM SSP based (including secure RPC) servers No minimum
Recovery console: Allow automatic administrative logon Disabled
Recovery console: Allow floppy copy and access to all drives and all folders Disabled
Shutdown: Allow system to be shut down without having to log on Enabled
Shutdown: Clear virtual memory pagefile Disabled
System cryptography: Force strong key protection for user keys stored on the computer Not Defined
System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing Disabled
System objects: Default owner for objects created by members of the Administrators group Administrators group
System objects: Require case insensitivity for non-Windows subsystems Enabled
System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links) Enabled
System settings: Optional subsystems Posix
System settings: Use Certificate Rules on Windows Executables for Software Restriction Policies Disabled

ветка "Security options"
А в "Назначение прав пользователя" параметры "Доступ к компьютеру из сети" и "Отказ в доступе к компьютеру из сети"?

Access this computer from the network Administrators,Users,Power Users,Backup Operators
Deny access to this computer from the network *S-1-5-21-1558397638-2365001412-1995668884-1001

* (на том серваке микрософтовская учетка SUPPORT_388945a0 удалена)
собственно это основная разница между серваками.