Никогда не думал, что создать новую группу пользователей на W2000 Server у меня вызовет проблему.
Что я сделал:
- создал новую группу (например newusera);
- завел пользователя и поместил его в эту группу;
- в локальных политиках включил новую группу в "Доступ к компьютеру из сети" и "Локальный вход в систему".

Теперь если вхожу в систему под именем нового пользователя, то получаю предупреждение: Can't access this folder. Path is too long.
Нажимаю OK и получаю рабочий стол, на котором нет ничего, что касается All user, а также корзины и моих документов.
Если включу этого пользователя в группу USER , то все происходит нормально. Сервер у меня - не контроллер домена.
Что еще нужно сделать?
Кто что знает? Подскажите пож.

В ключи ее еще в группу "Пользователи".
в локальных политиках включил новую группу в "Доступ к компьютеру из сети" и "Локальный вход в систему".
Мне кажется, что эти политики дадут только доступ на вход на комп и более ничего.
А надо еще дать доступ на использование. Группа "Пользователи" дает ограниченный доступ использования компа.
Поправьте, если ошибаюсь.

Gerdewski: в форуме подымался подобный вопрос, в нескольких местах. Используй поиск перед тем, как задать вопрос.
ColdZero: вероятно, здесь нужны не все возможности группы Пользователи, а какая-то из них. Другими словами, группа должна быть дочерней от Пользователи, с обрезанными фунциями. Я задавал подобный вопрос, но, к сожалению, ответа получить пока не смог.

Gerdewski
Что я сделал:
- создал новую группу (например newusera);
- завел пользователя и поместил его в эту группу;
- в локальных политиках включил новую группу в "Доступ к компьютеру из сети" и "Локальный вход в систему"

Что-то я не вижу тут пункта Удалил учетную запись пользователя из стандартной группы Пользователи (Users)

Это отчего вы упустили из виду?
я совсем не понимаю цели всех пунктов что вы выполняли?
Зачем новую группу создаете? Доступ к какому-то ресуру хотите определять через новую группу?

Сначала вы содаете новую локальную учетную запись - она автоматически становится членом группы локальных пользователей и УЖЕ получает права регистрироваться на консоли и использовать системные ресурсы и дополнительные приложения. Далее создавайте новую группу, включайте пользователя в нее и на эту группу определяйте разрешения (доступ или отказ) на ваш ресурс (принтер, каталог, файл и тп)

SkyF: вероятно, этот пункт опущен, хотя и выполнен, поскольку Если включу этого пользователя в группу USER , то все происходит нормально.
вот тема (http://forum.oszone.net/showthread.php?t=45105), в которой были заданы подобные вопросы, в т.ч. и мною. Там же, SkyF, есть вариант ответа на Ваш вопросЗачем новую группу создаете?

ShaddyR спросил ранее:

Вопрос такой: можно ли создать дочернюю группу на основании имеющейся, с урезанными правами?
Пример: Нужно, чтобы члены группы Users1 имели все возможности группы Power Users, кроме возможности устанавливать программы.
Вообще - можно ли и как манагерить подобные вещи?
ЗЫ: ОС - Win2003SP1, терминальный сервер, домена нет.

Есть ветки с аналогичными вопросом, можно объединить.
http://forum.oszone.ru/showthread.php?t=45105
http://forum.oszone.ru/showthread.php?t=47156
http://forum.oszone.ru/showthread.php?t=3927


В последней есть немного информации, но в большинстве своем относящейся к управлению доменом.


Посмотрим что можно использовать.
варианта вижу 2:
- урезать права Опытным пользователям
- добавить прав Простым пользователям

Где добавляются или урезаются права? - Правильно в Политике безопасности и в разрешениях безопасности объектов.

Для локальной ОС можно использовать gpedit.msc и задать параметры прав там (Computer settings - windows settings - security settings).
кроме того для расширения возможностей группы Пользователи можно использовать применения шаблона бузопасноти compatws.INF (с шаблонами можно работать через оснастки MMC.exe - Security Templates + Secutity Conf and Analisys). - этот шаблон изменяет списки безопасности реестра и системных каталогов, позволяя работать с ПО требующим изменения в системных объектах.
Очевидно можно создать свой шаблон (вроде restrict.inf) - который будет ноборот, ограничивать списки безопасноти для Опытных пользователей, запрещая им вносить изменения в определенные системные объекты (каталоги и реестр).

ну вот примерно так.
ЗЫ Перед играми с безопаснотью - не забывайте делать резервные копии системного раздела и состояния системы

SkyF: спасибо, Владимир. Но, поскольку я, похоже, теряю несколько само собой разумеющихся цепочек, то - можно мне вкратце подробную мануалку по моему вопросу ("Пример:")? (глядишь, Gerdewski она тоже пригодится..)

Пример: Нужно, чтобы члены группы Users1 имели все возможности группы Power Users, кроме возможности устанавливать программы.
Включить пользователей в группу Опытных пользователей.
Изменить списки безопасности системных каталогов (Program Files, Windows, Windows\System32 к примеру) - запретив группе Опытных пользователей изменять содержимое
Изменить списки безопасности системных веток реестра (HKLM\Software, к примеру) - запретив группе Опытных пользователей изменять содержимое
При этом удобнее создать шаблон безопасности для выполнения предыдущих пунктов и потом применить его (Как пример можно посмотреть как тоже самое делается в шаблоне compatws.inf)
Наибольшую проблему при создании таких ограничивающих настроек -является поиск системных объектов: каталогов и веток которым нужно изменять списки доступа. можно попробовать использовать утилиты с сайта sysinternals.com - filemon и regmon - которые позволяют протоколировать активноссть при выполнении како-го либо действия - куда и что заносится.

SkyF: ясно, идею понял. Но вопрос и у меня и у Gerdewski был о том, как создать новую группу ... возиться с раскидыванием прав на каждый объект прямо скажем неудобно... нюансов много, то же закрытие папки Progra~1, реестра приведет к ругательствам со стороны многих программ... Кроме того, я привел только одно из возможных ограничений... если нужно еще что-либо, то легче забыть про это все.
Неужто других вариантов нет в принципе?

так запрещать, разрешать доступ можно не стандартным группам, а НОВОЙ, чтобы потом можно было стандартные использовать по стандартному.
хорошее замечание - сейчас поправлю еще пункты предыдущие.

Иных методов настроить то - незнаю пока что - не вижу.
Microsoft позволяет более менее крутить права через политику безопасноти, но там только ограниченный набор и он не может устроить всех (в частности пункта о разр/запр уст программ - нет)

SkyFчерез политику безопасноти, но там только ограниченный набор и он не может устроить всех (в частности пункта о разр/запр уст программ - нет)в том то и проблема((
Но, в любом случае, спасибо за помощь.