Есть Windows server 2003, на нем настроено AD. Есть Windows server 2008 на котором стоит 1С. Моя задача состоит в том, чтобы ограничить 1-го пользователя при роботе на сервере Windows 2008. Этот пользователь (1С программист) подключается ко мне изВНЕ.
Конкретно нужно:
1. Работа в 1С.
2. Доступ в интернет.
3.Доступ в локальные диски сервера.
Нужно максимально ограничить все, но чтобы не повлияло на 1С и была возможность заходить в интернет (скачка обновлений).

Если можно поподробней, я в этом деле новичок совсем.

RYTU, Блокировка приложений с помощью политик ограниченного использования программ (http://www.oszone.net/7183).
Доступ в интернет
Если он подключился из Интернета, значит доступ есть априори, не так ли?

Да верно, но я вот например полазил нашел такую возможность: Запускать только программу которую я укажу, указал ехе файл 1С. Во общем получается он заходит, видит запущенный 1С, но если нажимает закрыть то и терминал закрывается. То есть зайти в мой компьютер или интернет он не может.
Полазив у вас на форуме и почитав разные темы дошел к выводу что мне надо: создать отдельную группу в которой максимально порезать все права, а потом нужного мне пользователя запихнуть в эту группу, хотя может я не так понял или есть другие способы?

Только вот как создать группы и делать в них ограничение я не знаю. Расскажите пожалуйста. Я просто с AD только 2 дня работаю.

Короче делал сам.
Создал группу новую, добавил туда нужного пользователя. На сетевых дисках в свойствах-безопасность добавил группу и ограничил все права. Потом на локальной машине, к которой подключается пользователь, на РДП сделал тоже самое: свойства-безопасность и ограничил все права.
У меня теперь такой вопрос: достаточно ли я ограничил его права на сеть, или он еще как то может попасть на другие компы локальной сети??