зачем cmd и powershell запрещать бесправному пользователю? »
чтоб не было желания проверить свою бесправность и\или нанести вред - себе ли, системе ли, не важно. Кроме того, Busla, вспомни заданный ТС вопрос. Собственно, за этим. Среда работы пользователя должна быть подготовлена для него админом. Ее состав пользователь не может и не должен менять. Набор программ определен, их список регулируется специализацией. Ничего, кроме выделенного, доступно быть не должно. В противном случае - базар-вокзал, нехватка ресурсов и шифровальщик на сладкое.

И что должен пользовать администратор для:
Среда работы пользователя должна быть подготовлена »
в тех случаях, когда возможностей, предоставляемых посредством заданных профилей, групповой политики и предпочтений групповой политики тупо недостаточно?

что должен пользовать администратор »
ты в какой части рассуждения потерял его нить? Администратор пользует то, что ему удобно - он-то ни в чем не ограничен. Или я что-то пропустил в постановке тех.задания и у ТС все пользователи - администраторы? Тогда решение не сработает, вот и все. Точнее, не будет эффективным, по очевидным причинам. Встречный вопрос: что пытаешься доказать-то?

ShaddyR, вернёмся к нашим баранам — как исполнять logon/logout-скрипты под пользователем, если задать ему запрет на использование пакетных файлов, скриптов WSH и PowerShell? Я пытаюсь объяснить, что мы таким макаром не пользователя ограничиваем (пользователь всё равно дальше своего профиля не сунется, привилегий-то нет), мы администратору мешаем.

Iska, а ты все сообщения подряд читаешь или по какому-то другому принципу?
как исполнять logon/logout-скрипты под пользователе »
->
DWORD-параметр DisableCMD = 2 - не? »
>
пользователь всё равно дальше своего профиля не сунется, привилегий-то нет »
пользователь может и не сунуться. А запущенное от его имени - вполне. Или ты свято веруешь в то, что все дыры по получению\смене привилегий под пользователем в серверных ОС давно заделаны? Оставлять дырку в заборе со словами "та тут никто обычно не ходит" - ну-ну.

ShaddyR, ты сам себе противоречишь, политика про которую ты твердишь (DisableCMD = 2) запретит только интерактивный запуск консоли, а batch-файлы разрешит вообще, не ограничиваясь logon/logoff.
Т.е. ставишь палки в колёса пользователю, который может и не сунуться? и даёшь зелёный свет всему запущенному от его имени.

Оставлять дырку в заборе со словами "та тут никто обычно не ходит" »
Как раз наоборот, это ты ориентируешься не на закрытие дырки, а на какие-то косвенные меры.

запретит только интерактивный запуск консоли, а batch-файлы разрешит вообще, не ограничиваясь logon/logoff.
Т.е. ставишь палки в колёса пользователю, который может и не сунуться? и даёшь зелёный свет всему запущенному от его имени. »
не понимание концепции не противоречит ее жизнеспособности. Твой случай. Еще раз, надеюсь последний: юзер НЕ должен САМ что-либо запускать. Большая часть вредоносов использует командную строку как таковую, а НЕ bat'ники. Юзер может запускать только ТЕ BAT'ники, входят в состав разрешенного ПО или написаны\положены администратором. Прекращайте рисовать непонимание очевидных вещей.

Iska, а ты все сообщения подряд читаешь или по какому-то другому принципу? »
Я читал. И не могу понять. Пакетные файлы мы ему разрешаем исполнять — ну, и смысл запрета тогда в чём был?

пользователь может и не сунуться. А запущенное от его имени - вполне. Или ты свято веруешь в то, что все дыры по получению\смене привилегий под пользователем в серверных ОС давно заделаны? Оставлять дырку в заборе со словами "та тут никто обычно не ходит" - ну-ну. »
Я свято верую в то, что либо мы используем существующую парадигму, либо меняем профессию. Дырки в заборе используют ошибки в существующем легальном программном обеспечении, в том числе и самой ОС, как, например, это было с обработчиком изображений в библиотеке WIA, как это было с обработчиком lnk-файлов, с обработчиком иконок и т.п. Понимаете? Не требовалось для этого ни пакетных файлов, ни скриптов, ни исполняемых файлов — достаточно было просто зайти в Проводнике в каталог с включённым отображением иконок, с включённым отображением превьюшек, просто попытаться запустить ярлык — и этого было достаточно.

Большая часть вредоносов использует командную строку как таковую, а НЕ bat'ники. »
Поясните. Мне таковые не попадались.

Юзер может запускать только ТЕ BAT'ники, входят в состав разрешенного ПО или написаны\положены администратором. »
Так описанная Вами политика никак не поможет отличить «ТЕ BAT'ники, входят в состав разрешенного ПО или написаны\положены администратором» от созданных пользователем. Она просто разрешает исполнение любых пакетных файлов и запрещает открытие интерпретатора команд.

Так описанная Вами политика никак не поможет отличить «ТЕ BAT'ники, входят в состав разрешенного ПО или написаны\положены администратором» от созданных пользователем. Она просто разрешает исполнение любых пакетных файлов и запрещает открытие интерпретатора команд. »
Т.е. если я тебе скажу, что пользователю можно запретить запускать батники откуда-либо, кроме рабочего стола и никакие другие папки ему доступны не будут, равно как и возможности писать на рабочий стол у него нет - ты наконец уловишь идею?
Как дети, чесслово. Мне начало поднадоедать доносить простые вещи. Хочешь уяснить для себя что-то, выходящее за пределы твоего понимания - создай соотв. тему и задавай вопросы в ней. 17 сообщений оффтопа в теме не кажутся тебе перебором?