[SkyF]

Цитата:

Пример: Нужно, чтобы члены группы Users1 имели все возможности группы Power Users, кроме возможности устанавливать программы.

1. Включить пользователей в группу Опытных пользователей.
2. Изменить списки безопасности системных каталогов (Program Files, Windows, Windows\System32 к примеру) - запретив группе Опытных пользователей изменять содержимое
3. Изменить списки безопасности системных веток реестра (HKLM\Software, к примеру) - запретив группе Опытных пользователей изменять содержимое
4. При этом удобнее создать шаблон безопасности для выполнения предыдущих пунктов и потом применить его (Как пример можно посмотреть как тоже самое делается в шаблоне compatws.inf)
5. Наибольшую проблему при создании таких ограничивающих настроек -является поиск системных объектов: каталогов и веток которым нужно изменять списки доступа. можно попробовать использовать утилиты с сайта sysinternals.com - filemon и regmon - которые позволяют протоколировать активноссть при выполнении како-го либо действия - куда и что заносится.