[Petya V4sechkin]

Crissaegrim, зайдите под User01 и в Regedit на ветках:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy

правой кнопкой мыши -> Разрешения -> кнопка Дополнительно -> кто в списке и с какими правами?

[Crissaegrim]

В списке Администраторы с полными правами и пользователь User01 с правами чтения.
Еще для ветки EXPLORER есть "Ограниченные", для которого нет прав (отсутствуют галочки)

Еще заметил вот что, когда применяю групповую политику из под юзера (Конфиг пользователя -> администраторские шаблоны), она применяется и для админа.

[Petya V4sechkin]

Цитата Crissaegrim:

В списке Администраторы с полными правами и пользователь User01 с правами чтения.

А куда SYSTEM делась?
Системная учетная запись SYSTEM должна иметь полный доступ.

Цитата Crissaegrim:

Еще для ветки EXPLORER есть "Ограниченные"

Для ветки Explorer все разрешения должны наследоваться от Policies (безо всяких ограниченных).

Цитата Crissaegrim:

когда применяю групповую политику из под юзера (Конфиг пользователя -> администраторские шаблоны), она применяется и для админа.

Так и должно быть (by design) для локальной политики.

[Crissaegrim]

Прошу прощения, да, SYSTEM есть во всех, с полным доступом. Убрал у ветки Explorer Ограниченных, по-прежнему после сброса параметров безопасности групповая политика все равно применяется простым пользователем.

[Crissaegrim]

Может я в что то не так делаю в этой процедуре сброса параметров? 2ой пункт net localgroup users User01/add не выполняется.

[Petya V4sechkin]

Crissaegrim, с помощью FileMon определил (подтвердилось экспериментально), что для запуска Gpedit.msc под учетной записью пользователя достаточно иметь разрешения на папку \WINDOWS\system32\GroupPolicy

Выясняйте, почему (и зачем) у вас меняются эти разрешения (похоже, при каждой загрузке).

[Crissaegrim]

в общем просто поставил запретры на эту папку для юзера, и все стало нормально. Спасибо большое!

[severagent007]

Находишь файл жпедит.мск, правой кнопкой мыши - автор - настраиваешь вкладку консоль - параметры, там варианты доступа, сохраняешь с таким же именем файла(заменить)
\WINDOWS\system32\GroupPolicy по умолчанию там нет пользователей, есть "прошедшие проверку"

[Crissaegrim]

Цитата:

настраиваешь вкладку консоль - параметры, там варианты доступа, сохраняешь с таким же именем файла(заменить)

а где именно варианты доступа? Режим консоли? Как я понял это настройка внешнего вида и сколько окон можно открыть.