1) Как ограничить пользователя групповыми политиками в домене?
В оснастке "active directory пользователи и группы" создаю подразделение -> пихаю туда пользователя, которого хочу ограничить -> в свойствах этого подразделения на вкладке "групповая политика" добавляю свой уже готовый объект групповой политики. А он применяет данную политику ко всему домену. Почему не применяет к только этому пользователю?
Я почитал эту статью http://oszone.net/3979/Software_Restriction_Policies. Но там большая статья о деталях ограничения вплоть до уровня библиотек dll, а самого простого, о том как воплотить это в жизнь нету.

2) В инете шарился искал решение для проблемы. Нашел то, что надо войти в оснастку "управление групповой политикой". У меня такой нету. Откуда ее брать? Для 2008го сервака ее можно переустановить вместе с компонентами, а у меня 2003-ий.

3) А можно ли как-нибудь поменять реестр пользователю, которого хочу ограничить. То есть не менять групповую политику, а использовать готовые рег файлы, скажем.

Для 2008го сервака ее можно переустановить вместе с компонентами, а у меня 2003-ий
Ну, дык, установите её (http://www.microsoft.com/download/en/details.aspx?id=21895).

Щас скачаю поставлю.

А без нее можно как-нибудь сделать?

) А можно ли как-нибудь поменять реестр пользователю, которого хочу ограничить. То есть не менять групповую политику, а использовать готовые рег файлы, скажем. »

Дело в том, что я хочу изменить эффекты быстродействия, всякие менюшки. А в редакторе групповой политики такого сделать нельзя. Например хочу чтобы вместо "Microsoft Internet Explorer" было написано чё-нибудь моё. А редактор GPO предлагает сделать ""Microsoft Internet Explorer представлен: и потом уже чё-нибудь моё". Как загружать реестр в пользовательские компы?

А можно ли как-нибудь поменять реестр пользователю, которого хочу ограничить. То есть не менять групповую политику, а использовать готовые рег файлы, скажем.
Ну, например, использовать gpedit.msc посредством создания административных шаблонов. При редактировании групповой политики создается файл, содержащий параметры реестра Windows, которые записывают эти сведения в разделы настроек пользователя [HKEY_CURRENT_USER (HKCU) в раздел \Software\Policies] и локального компьютера [HKEY_LOCAL_MACHINE (HKLM) в раздел \Software\Microsoft\Windows\CurrentVersion\Policies] базы данных реестра.

Например, с помощью тех же политик AD.

Ну, например, использовать gpedit.msc посредством создания административных шаблонов. »
Можно поподробнее.

При редактировании групповой политики создается файл, содержащий параметры реестра Windows »
Где лежит этот файл?

А нет, вы меня не правильно поняли.
Я имею ввиду, в gpedit.msc недостаточно возможностей. Хочу больше например: хочу чтобы вместо "Microsoft Internet Explorer" было написано чё-нибудь моё. А редактор GPO предлагает сделать ""Microsoft Internet Explorer представлен: и потом уже чё-нибудь моё". »

Нашел решение.

Править реестр доменного пользователя можно при помощи .adm файлов.
.adm файлы можно получить из .reg файлов при помощи утилиты reg2adm (http://www.novell.com/coolsolutions/tools/downloads/reg2adm.zip).

Чтобы импортировать .adm шаблон в групповую политику, правой кнопкой мыши нажимаем на "Административные шаблоны", выбираем "Добавить", выбираем ранее созданный из рег файла шаблон, добавляем его и вуаля - готово.