Здравствуйте!

Ести Домен, есть рас сервер.
В домене создал пользователя "1" создал группу "2". В свойствах пользователя добавил ему группу 2 и удалил его из всех остальных групп даже из "пользователи домена".
На рас сервере добавил группу "2" и дал ей разрешение на подключение.

К рас серверу пользователи подключаются по диалап для отправки почты, т.е установленна служба поп3.

Собственно вопросы:
1. Почему они могут войти под своим логином локально на любом компьютере сети домена?
2. Как правильно настроить им права для удаленного доступа чтобы они кроме как отправить почту прав больше не имели?
3. Если завесть пользователей локально на рас сервере, то к чему они получат доступ?

Заранее вам спасибо.

1. потому что у пользователя есть право на сетевое подключение, к контроллеру домена. Проверь в настройках контроллера домена, там скорей всего стоит доступ по сети "все". Либо рас сервер тоже является контроллером домена. А ограничений на локальный вход на компьютерах домена не установлены, по умолчанию там тоже "все" присутствуют.

А могут ли они с такими правами в домене чемнибуть навредить?

Они будут иметь доступ ко всем шарам, у которых стоит доступ "все" или "прошедшие проверку", соответственно если там будет доступ "изменение" они смогут что нибудь удалить.
Но в принципе на такие шары можно поставить запрет для группы 2 и они туда доступа не будут иметь.
Или ты можеш поставить запрет на доступ к контроллеру домена группе 2 или запретить локальный вход группе 2 на рабочих станциях домена.

1. Почему они могут войти под своим логином локально на любом компьютере сети домена?
В свойствах учетной записи необходимо указать, на какие именно компьютеры могут логиниться пользователи (Account - Log On To)