К любому логисескому диску, находящемуся на удаленной машине можно подключиться через его шару для с:\ например с:\$ и т.д. зная пароль администратора. Каким образом можно закрыть эту шару даже для доступа администратора с удаленной машины?

Отменить sharing, назначенный по умолчанию.

http://winguides.com/registry/display.php/4/
Или утилитой.
http://confignt.ixbt.com/confignt.htm

1.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
И удалить ресурсы.
Однако, это не поможет в ситуации с доменом. В домене даже при отсутствии скрытых ресурсов всегда можно добавить ресурс удаленно.
Можно либо остановить службу доступа к файлам, либо скрыть станцию командой "net config server /hidden:yes"

2. Политикой безопасности. Если домен - политикой домена, локально - gpedit.msc.
Конф.комп./Конф.Windows/Параметры безоп./Локальные политики/Назн.прав польз./Доступ к комп. из сети - убрать администратора ;)

Вопрос. а зачем это делать??? :[ 0 ]

У вас одинаковые права с другим админом домена. И если ты можешь отключить шару то он с таим же успехом ее может включить...

Проще уж в "Управление компьютера" из группы админов удалить админа домена, и на всех учетках сменить пароль.
Тогда ты будешь в домене, но админ домена не будет админом на твойе машине и не достучится до ресурсов по сети (только руками по голове)

н-да... :[ 0 ]

В управлении компьютера мона удалить только локальные записи... А если комп при загрузке входит в домен, то от админа домена отделаться нельзя. Так что глупости это... Админ домена - хозяин любой машины домена. Ставь аудит за ресурсами чтобы проследить кто лазит на твой комп...

Заходишь в управление локальным компьютером, удаляешь в группе администраторов следующую группу:
домен\администраторы домена
И можешь забыть про сетевой доступ админа к этой машине.

Конечно пользователям можно через политику запретить такое вытварять, но факт есть факт - прежде чем говорить про глупости проверь это на практике.

Заходишь в управление локальным компьютером, удаляешь в группе администраторов следующую группу:
домен\администраторы домена
И можешь забыть про сетевой доступ админа к этой машине.
Если бы. ЛЮБЫЕ права можно назначить груповой политикой домена.
Обходиться ваш метод так же элементарно, хотя отработает лишь после перезагрузки.
(гр.пол. - Конф.комп./Конф.Windows/Пар.без./Группы с огр.дост. - создаем группу Администраторы и добавляем туда все что надо.)
На то он и администратор, что бы управлять всеми подчинеными в домене. Если администратор своими действиями нарушает конфиденциальность, то это уже вопрос к руководству вашего предприятия.
Хотя я не вижу необходимости давать в домене права локального администратора.

но факт есть факт - прежде чем говорить про глупости проверь это на практике.
Проверял. И неоднократно. После чего наказывал нарушителей лишением всех прав, вплоть до белго списка запускаемых программ. ;)

Проверял. И неоднократно. После чего наказывал нарушителей лишением всех прав, вплоть до белго списка запускаемых программ.
Полностью с тобой согласен, меры принимаю те же.

Но я уже писал, все это можно спокойно запретить.
Конечно пользователям можно через политику запретить такое вытварять

Кстати у меня в WindowsXP SP2
гр.пол. - Конф.комп./Конф.Windows/Пар.без./Группы с огр.дост нет, есть только:
гр.пол. - Конф.комп./Конф.Windows/Пар.без./Политики ограниченого использования программ

Кстати у меня в WindowsXP SP2
гр.пол. - Конф.комп./Конф.Windows/Пар.без./Группы с огр.дост нет, есть только:
Так и должно быть. В w2k workstation тоже нет. Это есть в групповой политике домена.

Огранечения тут настраиваются добавлением уже встроенных групп, а есть ли возможность более низкоуровневого настраивания созданной вручную группы?

В этом случае не вижу возможности дать человеку админовские права, и запретить при этом изменять состав группы админов.

а есть ли возможность более низкоуровневого настраивания созданной вручную группы?
Вроде как не наблюдаеться. А жаль, тогда бы было больше возможностей ограничить локальных администраторов. ;(
В этом случае не вижу возможности дать человеку админовские права, и запретить при этом изменять состав группы админов.
Хм, для не слишком продвинутых достаточно перекрыть в доменной политике:
конф.польз./адм.шабл./панель управл. - скрыть элементы - добавить "Пользователи и пароли" (не обзязательно, от сюда для манипуляций с группами запускаеться оснастка, которую мы запрещаем следующей командой)
конф.польз./адм.шабл./Компоненты wind./Консоль управления/Запр.разр. осн. - Локальные полз. и гр. - отключить.
конф.польз./адм.шабл./Компоненты wind./Консоль управления/Запр.разр. осн./Групповая пол. - Оснастка гр.пол. - отключить. (это чтобы не включили оснастку предыдущим способом)

есть програмка NetView которая забивает шары даже находясь в домене, только включить обратно эти шары проблематично.
проверено лично, админ цельный день бился и не подключился, еще желательно отключить удаленный реестр