Как можно ограничить доступ на ПК с Win2000, работающий в домене? Чтобы на нем мог работать только один пользователь.

AD-user & computer. Свойства пользователя. Вкладка УЧЕТНАЯ ЗАПИСЬ. Кнопка ВХОД НА. И указываешь на какие компы разрешено входить пользователю.

Я так понял, что задача обратная -- ограничить остальных пользователей. Решение "в лоб" -- убрать доступ к системному диску у всех пользователей, кроме нужного.

Raistlin понял совершенно верно, а в политиках локальных или доменных чего-то нельзя сделать такого для ограничения всех кроме одного?

По-моему, нет. Но можно ведь создать GPO, определить в нём сценарий автозапуска, из которого с помощью SetACL (http://setacl.sourceforge.net) устанавливать нужные права на %SystemRoot%. А затем для данного GPO определить фильтр, чтобы групповая политика применялась только к нужному компьютеру.

Если таких машин несколько, то можно сделать несколько Подразделений, в каждое засунуть Юзверя и его компьютер, и далее рулишь груповую политику подразделению: Комп./Винд/Безоп./Лок. пол./Назн. прав польз./Локальный вход в систему - устанавливаешь этого юзверя, и локального админа.

Если машин до фига... можно так же, если не влом ходить, на каждой машине проделать эту операцию с помощью gpedit.msc - все то же самое.

Может я неправильно понял.... Тебе надо ограничить доступ к ОДНОЙ машине  или чтобы каждый пользователь мог работать ТОЛЬКО за одной(своей) машиной????

Доступ только к одной машине

Тогда только так как сказал Dennis
Если таких машин несколько, то можно сделать несколько Подразделений, в каждое засунуть Юзверя и его компьютер, и далее рулишь груповую политику подразделению: Комп./Винд/Безоп./Лок. пол./Назн. прав польз./Локальный вход в систему - устанавливаешь этого юзверя, и локального админа.