Не работает ограничение запуска программ через GPO (AD Win2003, client W2k)
 

Пытаюсь через GPO запретить запуск некоторых (или запуск всех кроме указанных) программ пользователям.
Сервер Win2003
Рабочая станция Win2k prog sp4 + rollup

и компьютер, и пользователь - в одном OU
в этом OU делаю политику (других политик в OU нет), создаю в разделе пользователя "политику ограниченного использования программ"
пытаюсь, к примеру, запретить запуск всего: ставлю уровень безопасности "не разрешено", удаляю из разрешенных программ все (в том числе пути прописанные там по умолчанию)
включаю рабочую станцию, логинюсь под юзером - логин проходит нормально (хотя по идее, если запрещено все - то и зайти нормально в систему дать не должно), любые приложения запускаются

юзаю gpresult /u:
Microsoft (R) Windows (R) 2000 Operating System Group Policy Result tool
Copyright (C) Microsoft Corp. 1981-1999


Created on 14 декабря 2011 г. at 15:16:44


Operating System Information:

Operating System Type: Professional
Operating System Version: 5.0.2195.Service Pack 4
Terminal Server Mode: Not supported

###############################################################

User Group Policy results for:

CN=tz,OU=proverka,DC=barnaul,DC=muh,DC=local

Domain Name: BARNAUL
Domain Type: Windows 2000
Site Name: Default-First-Site-Name

Roaming profile: (None)
Local profile: C:\Documents and Settings\tz

The user is a member of the following security groups:

BARNAUL\Пользователи домена
\Все
BUILTIN\Пользователи
NT AUTHORITY\ИНТЕРАКТИВНЫЕ
NT AUTHORITY\Прошедшие проверку
\ЛОКАЛЬНЫЕ


###############################################################

Last time Group Policy was applied: 14 декабря 2011 г. at 15:03:45
Group Policy was applied from: student.barnaul.muh.local


===============================================================


The user received "Registry" settings from these GPOs:

proverka

юзаю grpresult /u /v:
Microsoft (R) Windows (R) 2000 Operating System Group Policy Result tool
Copyright (C) Microsoft Corp. 1981-1999


Created on 14 декабря 2011 г. at 15:16:52


Operating System Information:

Operating System Type: Professional
Operating System Version: 5.0.2195.Service Pack 4
Terminal Server Mode: Not supported

###############################################################

User Group Policy results for:

CN=tz,OU=proverka,DC=barnaul,DC=muh,DC=local

Domain Name: BARNAUL
Domain Type: Windows 2000
Site Name: Default-First-Site-Name

Roaming profile: (None)
Local profile: C:\Documents and Settings\tz

The user is a member of the following security groups:

BARNAUL\Пользователи домена
\Все
BUILTIN\Пользователи
NT AUTHORITY\ИНТЕРАКТИВНЫЕ
NT AUTHORITY\Прошедшие проверку
\ЛОКАЛЬНЫЕ

The user has the following security privileges:

Обход перекрестной проверки
Завершение работы системы
Извлечение компьютера из стыковочного узла


###############################################################

Last time Group Policy was applied: 14 декабря 2011 г. at 15:03:45
Group Policy was applied from: student.barnaul.muh.local


===============================================================


The user received "Registry" settings from these GPOs:

proverka
Revision Number: 10
Unique Name: {0620F402-3B59-4949-BE7D-FE75451BB74A}
Domain Name: barnaul.muh.local
Linked to: Organizational Unit (OU=proverka,DC=barnaul,DC=muh,DC=local)




The following settings were applied from: proverka

KeyName: Software\Policies\Microsoft\SystemCertificates\Disallowed\Certificates
ValueName:
ValueType: REG_NONE
Value: This key contains no values

KeyName: Software\Policies\Microsoft\SystemCertificates\Disallowed\CRLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values

KeyName: Software\Policies\Microsoft\SystemCertificates\Disallowed\CTLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values

KeyName: Software\Policies\Microsoft\SystemCertificates\Trust\Certificates
ValueName:
ValueType: REG_NONE
Value: This key contains no values

KeyName: Software\Policies\Microsoft\SystemCertificates\Trust\CRLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values

KeyName: Software\Policies\Microsoft\SystemCertificates\Trust\CTLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values

KeyName: Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\Certificates
ValueName:
ValueType: REG_NONE
Value: This key contains no values

KeyName: Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\CRLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values

KeyName: Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\CTLs
ValueName:
ValueType: REG_NONE
Value: This key contains no values

KeyName: Software\Policies\Microsoft\SystemCertificates\TrustedPublisher\Safer
ValueName: AuthenticodeFlags
ValueType: REG_DWORD
Value: 0x00000002

KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
ValueName: DefaultLevel
ValueType: REG_DWORD
Value: 0x00000000

KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
ValueName: TransparentEnabled
ValueType: REG_DWORD
Value: 0x00000001

KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
ValueName: PolicyScope
ValueType: REG_DWORD
Value: 0x00000000

KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers
ValueName: ExecutableTypes
ValueType: REG_MULTI_SZ
Value:
ADE
ADP
BAS
BAT
CHM
CMD
COM
CPL
CRT
EXE
HLP
HTA
INF
INS
ISP
LNK
MDB
MDE
MSC
MSI
MSP
MST
OCX
PCD
PIF
REG
SCR
SHS
URL
VB
WSC

KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths
ValueName:
ValueType: REG_NONE
Value: This key contains no values

KeyName: Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\262144\Paths
ValueName:
ValueType: REG_NONE
Value: This key contains no values


то есть политика применилась и в реестр записалась инфа

пытался делать наоборот - ставить уровень безопасности обычный и запрещать отдельное приложение - например, calc.exe по пути - та же фигня, никакой реакции, приложение свободно запускается

различные другие параметры политики, если я их задаю, выполняются нормально

в чем проблема?
на вин2к это не работает? помнится что когда-то видел настроенную на вин2к через ГПО запретительную политику
подозреваю, что какую-то очевидную вещь упустил, но какую?