Помогите, пожалуйства НЕадмину с тяжелой и неизвестной для него задачей. Нужно настроить права юзеров таким образом,  чтобы они, входя в домен, могли запускать только два определенных приложения, и ничего больше. Ни Интернета, ни доступа к сетевым дискам, ни "Моего компьютера" и сети -- пустой рабочий стол и два приложения (или на самом рабочем столе
или в меню "Пуск").
Насколько я понимаю, в gpedit.msc нужно создать группу юзеров, а для нее -- груповую политику. А какие именно права ограничить? Помогите, пожалуйста, посоветуйте.

во первых сделайте резервную копию Состояния Системы.
Сейчас очень важно ничего вам не напутать и не сделать "лишних" ограничений. Если чего - восстановитесь из архива.

В домене создайте организационное подразделение.
Переместите в одну тестовую учетную запись (на которую нужно наложить ограничения) и их одну учетную запись компьютера (на котором будем тестировать эту учетную запись - на нем лучше тоже сделать резервную копию Состояния Системы). Переносить нужно из контейнеров Computers и Users. Остальное не переносите. Группы не нужно вообще трогать.
На этом подразделении щелкаем правой кнопкой, потом свойства и далее переходим на закладку "групповая политика".
нажимаем кнопку "создать", вводим название (любое) и потом жмем "изменить".
Открывается уже знакомый вам gpedit. проходим по дереву параметров и настраиваем его для компьютеров и для пользователей.
Настраивайте только те параметры смысл которых вам понятен ( как-то:
Удалить команды "Подключить сетевой диск" и "Отключить сетевой диск" из КОнфигурация пользователя - Административные шаблоны - Компоненты Windows - Проводник.
...
переходим на клиентскую тестовую машину регистрируемся тестовым пользователем. выполняем команды для применения политик сейчас же:
secedit /refreshpolicy machine_policy /enforce
secedit /refreshpolicy user_policy /enforce
PS для XP и Server 2003 нужно вводить gpupdate

Фиксируем изменения. Если то что нужно и мы видим результат - то оставляем, иначе лучше пока этот паратер не менять! тк либо не то поменяли, либо этот параметр задается иначе чем остальные (типичные пример политики учетных записей). Политики безопасности, лучше не настраивать, а ограничиться для первого раза Административными шаблонами для компьютера и пользователя. переходим к настройке следующего параметра.

настраиваем "все -  что нам кажется нужным", еще раз все проверяем, вплоть до перезагрузки тестовой машины.

затем переносим в наше подразделение все остальные клиентские компьютеры и учетные записи из контейнеров Computers и Users.

SkyF, спасибо огромное. Еще ламерсикий вопрос :biglaugh: -- что понимается под копией состояния системы и как ее сделать?

Программа Архивация (ntbackup.exe)
отметить Состояние Системы (System State)  и зарезервировать его.

SkyF, спасибо еще раз -- все настроилось, все, за исключением пары мелочей, получилось.
Пара мелочей это -- я никак не могу убрать с рабочих столов пользователей иконки "Мой компьютер" и "Корзина" и панель задач внизу экрана с кнопкой "Пуск" и командой "Программы -> Автозагрузка" (пустой). Не могу найти соответствующие настройки. Как это можно сделать?

Duo
Совет.
Так как тебе без разницы по большому счету, где у тебя будут 2 ярлыка, то советую их делать не на рабочем столе, а в меню "Пуск". В меню Пуск отключаешь общую часть и все что касается первой менюшки (Settings. Search, Run,...), рабочий стол убираешь СОВСЕМ, а не иконки с него.

Ах, если бы мне было все равно... :-( Народ требует, чтобы на рабочем столе были две нужные иконки, и все. Если не найду, как убрать панель и "Мой компьютер" с "Корзиной", придется переубеждать народ.

Народ требует, чтобы на рабочем столе были две нужные иконки
А их нельзя кинуть в панель быстрого запуска ?

То есть? В смысле, как это сделать?

Duo
Если не найду, как убрать панель и "Мой компьютер" с "Корзиной"
Немного теории, с Вашего разрешения.

Если Вы откроете шаблоны групповой политики, с которыми работает gpedit.msc, в разделе будет информация о том, где же и в каком виде в реестре хранится тот ли иной параметр. Там имеются константы, которые "раскрываются" в самом конце файла шаблона. Короче, это вкратце про то, как устроен файл шаблона.

Теперь самое главное.
Пока registry.oszone.net не работает, даю ссылку на km.
http://registry.km.ru/cgi-bin/main.cgi?n=nonenum&t=winpol&idx=1495&l=policies
Укзаанные параметры работают для Windows 2000 и выше, для Windows NT надо другое решение (удалять объекты из пространства имен оболочки, если надо подробнее как это сделать - пишите, расскажем).

Осталось написать свой шаблон, в который вставить нужные параметры, и натянуть на кого надо. Писать по аналогии с уже имеющимися параметрами типа REG_DWORD, которым надо устанавливать 1 для включения и 0 для отключения ограничения (например, NoSMHelp или NoRun).

Один комментарий. Приведенные параметры я использовал только руками редактируя реестр. Надо ли опубликовывать на каждой тачке новый шаблон, где он должен находиться, и т.п. - не знаю, именно назначение политик на основании своих шаблонов для групп не делал, но теоретически работать должно. Даже если и не получится - написание своих шаблонов политик - хороший скилл для админа.

Никак не могу понять: а если на компе, на который логинятся пользователи через терминалку, нет контроллера домена, то политики, которые изменяются через gpedit.msc применяются сразу ко всем пользователям... а это плохо...

Короче вопрос по другому: как пользоваться групповыми политиками, если нет контроллера домена???

заранее спасиба!