Групповая политика ... работает!(с ограниченным пользователем)
 

Возникла такая проблема. Имеется компьютер в домене. Создал на компе пользователя администратора, настроил все как нужно, установил ПО и т.д. Теперь делаю пользователя ограниченным (из этого же пользователя, т.е. как бы сам себя ограничиваю). Вроде все сработоало. НО: ввожу в уже ограниченном пользователе gpedit.msc и почему то эта политика работает. В других компах не было такого, выдавалось сообщение, что нет прав. А здесь почему-то такого сообщения нет.

И еще. В групповой политике (локально)установил очищать историю проводника, т.е. очищать кеш команды "Выполнить". Однако после перезагрузки ничего не исчезает, все набранные там команды остаются. Пробовал создавать в реестре для этого пользователя Dword парамет ClearRecentDocsOnExit со значением 1, все равно, история не очищается.
Прошу помочь, в чем может быть причина этих странностей?

P.S. Доменного пользователя не добавлял в группы пользователей локального компьютера, просто сразу залогинился под ним. Но в control userpasswords2 после этого он появился. Не знаю имеет ли это значение. Тип учетной записи изменял там же естественно.

Чему равен ClearRecentDocsOnExit в разделах реестра:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

Равен единице

Я им часто пользуюсь, этим параметром и через реестр и через групповую политику, и всегда срабатывало, но сейчас почему-то нет... Однако важнее вопрос почему ограниченный пользователь может запускать gpedit.msc...

Выложите (в Regedit -> меню Файл -> Экспорт) эти ветки.

Хорошо, завтра выложу. Сейчас уже дома. Компы на работе...

Попробуйте
Восстановление параметров безопасности по умолчанию

Приведенное там решение не помогает. Оснастка ГП все равно запускается из ограниченного пользователя (кстати реестр пользователь изменять не может, т.е. сама по себе ограниченность работает).

Может поможет прояснить вопрос последовательность того что я делаю.
Пробовал на чистой системе в домене вот что.
1.Захожу в Admin. Выполняю contol userpasswords2 и добавляю там доменного пользователя User01 в качестве ограниченного
2. Выхожу из Admin.
3. Захожу как User01 в домен. Ввожу выполнить - gpedit.msc - не работает - нет прав.
ОК.
4. Теперь захожу в Admin, добавляю пользователя User01 к администраторам компа (мне нужно это для определенных действий) Захожу в User01, делаю нужные действия.
5. Захожу в Admin, добавляю пользователя к группе Ограниченный доступ (т.е. просто "Пользователь")
6. Захожу в User01 выполняюю gpedit.msс и она выполняется((((( Т.е. запускается и параметры редактируются.

Т.е. это все наводит на мысль, что если пользователь хоть раз имел Админские права, а потом снова только пользовательские оснастка ему будет все равно доступна?
Пробовал удалять учетку в домене, удалять и добавлять этого пользователя в control userpasswords2 - толку нет.

Crissaegrim, Пуск -> Выполнить -> lusrmgr.msc -> Группы -> Администраторы -> кто там?

Эх, опять из дома сейчас пишу, в пн обязательно посмотрю. Спасибо. Еще выложил ветки, которые вы просили. в предыдущем посте.

В общем там есть Администраторы домена и админская учетная запись Admin. Никого нет больше.

Crissaegrim, зайдите под User01 и в Regedit на ветках:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy

правой кнопкой мыши -> Разрешения -> кнопка Дополнительно -> кто в списке и с какими правами?

В списке Администраторы с полными правами и пользователь User01 с правами чтения.
Еще для ветки EXPLORER есть "Ограниченные", для которого нет прав (отсутствуют галочки)

Еще заметил вот что, когда применяю групповую политику из под юзера (Конфиг пользователя -> администраторские шаблоны), она применяется и для админа.

А куда SYSTEM делась?
Системная учетная запись SYSTEM должна иметь полный доступ.

Для ветки Explorer все разрешения должны наследоваться от Policies (безо всяких ограниченных).

Так и должно быть (by design) для локальной политики.

Прошу прощения, да, SYSTEM есть во всех, с полным доступом. Убрал у ветки Explorer Ограниченных, по-прежнему после сброса параметров безопасности групповая политика все равно применяется простым пользователем.

Может я в что то не так делаю в этой процедуре сброса параметров? 2ой пункт net localgroup users User01/add не выполняется.

Crissaegrim, с помощью FileMon определил (подтвердилось экспериментально), что для запуска Gpedit.msc под учетной записью пользователя достаточно иметь разрешения на папку \WINDOWS\system32\GroupPolicy

Выясняйте, почему (и зачем) у вас меняются эти разрешения (похоже, при каждой загрузке).

в общем просто поставил запретры на эту папку для юзера, и все стало нормально. Спасибо большое!

Находишь файл жпедит.мск, правой кнопкой мыши - автор - настраиваешь вкладку консоль - параметры, там варианты доступа, сохраняешь с таким же именем файла(заменить)
\WINDOWS\system32\GroupPolicy по умолчанию там нет пользователей, есть "прошедшие проверку"

а где именно варианты доступа? Режим консоли? Как я понял это настройка внешнего вида и сколько окон можно открыть.