Раньше такой потребности не было поэтому как-то не сталкивался потому как не надо было.
Вопрос возник следующий: как с помощью ГП запретить на компьютерах входящих в домен запретить заходить под локальными(!) учетными записями включая локальных учеток администратора?

Поделитесь опытом. Хотелось бы узнать возможно ли это реализовать на АД под 2003 сервером, клиенты под 2003 и ХР

Запретите интерактивный вход (не забудьте протестировать) (англ - Deny interactive logon). Кстати, локальный администратор может загрузиться без сети и разрешить себе всё.

Deny interactive logon »
Вообще-то проще РАЗРЕШИТЬ логон ТОЛЬКО Domain users, чем ЗАПРЕЩАТЬ куче локальных учеток. =)
К тому же Deny не получится поставить на локальную группу Users: по умолчанию в ней сидит группу Domain users.

Однако тут возникает одна проблема:
При попытке разрешить локальный логон только доменным пользователям - получаем сообщение об ошибке: "Администраторы (имеется в виду локальная группа администраторов) должны иметь право локального входа".
Подробнее - здесь: http://support.microsoft.com/kb/823659

Поэтому с помощью политик отключаем локальные учетные записи администратора и гостя, а все остальные учетные записи - находим и удаляем (или блокируем), чтобы локально остались только 2 учетки: админ и гость.
Находить и удалять/блокировать можно скриптом, можно руками удаленно (если компов немного).

Для пущей важности через ГП прописываем членство в ЛОКАЛЬНЫХ группах:
в группу "Users" - только группу "Domain users"
в группу "Administrators" - только группу "Domain admins" и BUILTIN\Administrator (он заблокирован, ничего плохого не будет. Зато когда комп потеряет домен и надо будет залогиниться локально - спокойно разблокируем админа, загрузимся под ним, и всё что надо сделаем. Методы разблокировки описаны на форуме не раз, достаточно воспользоваться поиском)

В группу "Power users" руками заносим "особо одаренных" пользователей, персонально на каждом компе.
Или, если нет особых возражений в плане наличия повышенных прав, - через политику помещаем туда все тех же "Domain users".


В итоге получаем:
Все локальные пользователй (в самом лучшем случае их всего 2 - админ и гость) - заблокированы.
Соответственно, залогиниться не получится.
Логиниться могут только доменные пользователи.
Ставить софт, делать всякие другие гадости - могут, являясь членами группы Power users
Однако создать локального пользователя или включить отключенного - не могут, т.к. не администраторы.
Всем нравится, все довольны =)

Запрета интерактивного входа на компьютер запрещает логинится не только локальной учетной записи но и доменной учетной записи на компьютер ЛОКАЛЬНО!! А мне нужно запретить вход только локальным учетным записям, чтобы могли заходить только с доменными учетными записями

читаем еще раз, внимательно:

с помощью политик отключаем локальные учетные записи администратора и гостя, а все остальные учетные записи - находим и удаляем (или блокируем), »
Логиниться могут только доменные пользователи »

Спасибо. Информации вполне достаточно. Будем работать дальше.