Проблема: не могу найти решение как запретить пользователю или группе пользователей выход из домена (disjoin).

Какая рабочая станция? Если 2k, то проблема непонятна, только локальный администратор имеет право на операцию, и зачем тогда давать такие права пользователям?
А если 9х, так у них вообще о защите говорить не приходиться...

Домен w2k server. Пользовательские станции XP и w2k Pro. Хотелось бы запретить вообще кому то ни было кроме администраторов домена выход из него.

Тогда не понимаю, доменные пользователи не имеют права удалять компы из домена. Но локальному администратору запретить такое нельзя. Еще раз спрашиваю, пользователи имеют админские права на рабочих станциях? Если да, то имеет ли это смысл?

Пользователи имеют администраторские права на свои рабочие станции. Мне необходимо что бы соблюдались политики безопасности домена на всех рабочих станциях, человек же выйдя из домена может их нарушить. Вход локального администратора можно запретить.

По вашему - никак.
1. Вход локального администратора можно запретить.
2. Пользователи имеют администраторские права на свои рабочие станции.
это уже противоречие.

Раздавать локальные админские права для этого нужны очень серъезные обоснования. Обычно прав Power user более чем достаточно, а то и того много.
Есть уважительная причина? (игры - причиной не являются)

(Если уже совсем невмоготу, то есть один способ: запретите политикой безопасности следующее:
Конф.польз./Шаблоны/Раб.стол/Удалить команду "Свойства" в контекстном меню объекта "Мой компьютер".
Конф.польз./Шаблоны/Панель управления/Скрыть указанные элементы панели управления - sysdm.cpl
При этом еще и файл sysdm.cpl переименовать.
Но от сообразительных пользователей это не спасет. Если пользователь может творить на машине что хочет, не предьявляйте ему претензий...)

Как разрешить доменным пользователям регистрировать рабочую станцию в домене (например 2003) - понятно, предоставить доступ к контейнеру Computers, а каким образом можно запретить выход из домена рабочей станции?
Я что-то не соображу.

Для выхода из домена в общем случае контроллер не нужен, впрочем как и сеть вообще, т.к. определяется только локальными правами пользователя в системе - аналогично праву на переименование станции. Если пользователь является локальным администратором, то это право у него не отнять... Более того, если после выхода имена локального пользователя и рабочей группы будут совпадать с доменными, пользователь получит все права в домене.

Если пользователь является локальным администратором
Да нет, не является

amel27
то есть если пользователь поставит у себя на компе рабочую группу называя ее как домен то он получает доступ к доменным рессурсам?

Под обычным/опытным пользователем: "Мой компьютер"\"Свойства"\"Имя компьютера"... Внизу будет примечание по этому поводу. К регистрации в домене это тоже относится, потому и говорю про администратора. Регистрация станции и добавление/удаление объекта "Workstation" в AD - разные вещи...

dim_alf

В общем случае - Да... Если конечно админ не прописал на КД обязательную аутентификацию Kerberos.
Статья тут: http://oszone.net/display.php?id=1391&page=3

Чтобы подключить(отключить уомпьютер) к(из) домену
Для выполнения этой процедуры необходимо входить в группу Администраторы на локальном компьютере или получить соответствующие полномочия путем делегирования. Если компьютер присоединен к домену, эту процедуру могут выполнять члены группы Администраторы домена.
/так же, как упомянул amel27, это относится и к переименованию р.с.
думаю эта выдержка из справки полно описывает ситуацию ))
что касается:
>>Если пользователь является локальным администратором
>>>Да нет, не является
это имхо и подтверждает версию о делегировании полномочий.
Права для подключения станций к домену (http://forum.oszone.ru/showthread.php?t=55262)

Я говорю, вот про что.
Допустим на локальный компьютер я вхожу под доменной учетной записью или локальной (это неважно), которая обладает правами Администратора на локальном компьютере.
При выполнении операции отключения рабочей станции от домена для подтверждении операции, сервером(?) запрашивается имя и пароль пользователя.
При вводе имени и пароля любого доменного пользователя, все проходит успешно, хотя при обратной операции , т.е. при подключении к домену, такого нет. Можете проверить.