Контроллер домена
 

Здравствуйте.
В сети есть компьютеры Windows XP Professional SP3, Windows 7 Ultimate.
Необходимо было создать пользователя, которому был бы запрещен доступ к реестру, просмотру через проводник разделов диска и т.д.
Для этих целей решили поднять контроллер домена, до этого, по правде сказать опыта работы с ним не имел.
Установил ОС, добавил роль DNS, контроллер домена, управления права Active Directory, создал юзера, для клиентский ос, клиентскую ОС (ХР), пока одну для работы, подключил к домену, и зашел под вновь созданным юзером.
Вопрос: как запретить доступ к реестру, правам на определенные директории в Windows Server'e 2012?

если пользователь не админ своего компа - доступа не будет.
например?

Не знаю, админ он или нет. Но пользователь, которого я создал на 2012 сервере, и потом уже на клиентской зашел имеет доступ к реестру.
Не правильно выразился. Непосредственно на самом сервере запретить права для определенных директорий на машинах клиентов, а не бегать на каждую машину и указывать права.

доступ на чтение или изменения? Проверьте, админ он или нет. Зайдите в локальные "пользователи и группы" и проверьте.
я и говорю - например?

Зашел локально и пользователь числится администратором.
Пользователю запретить чтение, изменение. Однако, программам, которые запустил пользователь разрешить чтение и изменение.

1. Запретить просмотр всех директорий в проводнике, кроме тех, которые на рабочем столе.
2. Запретить изменение, удаление определенных ярлыков на рабочем столе.
И так далее.

так не бывает. Программы запускаются от имени пользователя. Есои у него нет доступа - и у программ тоже не будет.
локальный админ имеет доступ всюду, даже если запретить политиками - ему ничто не мешает их отключить, и получить доступ.

Давайте пойдём другим путём. Цель у вас какая? Почему хотите закрыть реестр и директории?

Бывает.
В Windows 7 для определенного пользователя в груп. политике я запретил доступ к реестру, однако, программы, которые он запускал - прекрасно сохраняли свои настройки в реестра, а также получали свою информацию из реестра.


Опять же, в Win 7 для админа, через второго админа, запретил многое, в том числе и перечисленное выше. Сейчас пытаюсь тоже самое запретить только уже централизованно, как у людей)
Компьютер у пользователей в общем доступе. Они должны запустить приложения, сохранить файлы на рабочем столе, просмотреть файлы на раб. столе и всё :)
А второй пользователь админ, должен иметь полный доступ.

а ну так это программы пишут в реестр данного пользователя. Это влияет только на него, а не на всю систему.ну вот первый админ может спокойно все права восстановить.

один компьютер? и ради него домен?
создайте локальных пользователей, настройте им профили, уберите из группы локальных администраторов. У них будет доступ только в "свой реестр", директории своего профиля. А программы уже настроены для всех. новые они не смогут установить (только для себя смогут, как Chrome, например)

Сеть компьютеров.
Пока никто не смог, за год с лишним работы :)
Нельзя) Даже запуск ехе,com,bat с рабочего стола нельзя запускать.

UPD.
Чуть-чуть разобрался.
Нашел gpmc.msc
Там создал новый объект политики, указал в фильтрах безопасности только юзернэйм клиента и групповой политике в разделе пользователя запретил в проводнике меню "файл", для проверки, вышел и зашел на ХРхе под этим клиентом. Но политика не сработала. В чем может быть проблема?

в логах есть ошибки применения политики? покажите полностью все настройки. К какой OU привязана политика?

Политика была создана 14.10 где-то в 23-30 .. 00-30
Однако, в логах, которые показывает диспетчер сервера, только это.
Все настройки чего? И как их показать?
Расшифруйте, пожалуйста, о чем идет речь и где это можно узнать?

UPD.
Разобрался.
Надо было связать вновь созданный объект с доменом.
Добавил связь с GPO и всё заработало. Честно сказать, теоретически не понял, что это за ГПО и почему без него не работало. Просто увидел, что дефолтные политики связаны с моим доменов в этом ГПО. Сделал и всё заработало. Объясните, пожалуйста, почему? :)

вот про это я и имел ввиду.
я не понял ваш вопрос.

Во-первых, как всё-таки расшифровывается OU.
Во-вторых, что такое ГПО, почему оно так важно? :)

Organizational unit
GPO(ГПО) - объект групповой политики.

добавлю, что на некоторые OU, вроде Users, Computers - политики не распространяются. Так что после создания пользователей и компьютеров их нужно переносить с свои OU.

Здравствуйте.
Случился трабл, пришлось переустанавливать ОС.
Поставил 2012 сервер, установить роль домен котроллера, установил ДНС, добавил объект групповой политики, настроил его, связал с доменом.
Теперь на клиенте (XP Professional SP3) не применяется политика, время одинаковое на клиенте и сервере.
Gpresult:
Сведения: Объект политики не существует.

UPD.
Разобрался.
Странно, на клиенте при добавлении в домен DNS прописались 192.168.0.70 вместо 0.71.