Как ограничить права юзера? Например, нужно сделать так, чтобы он не мог менять настройки рабочего стола, включать заставки, устанавливать обои и т.д.
И в чем разница будет, если делать это для локального или  доменного профиля?

shark21
для того чтоб пользователь (все пользователи этой машины) не мог изменять св-ва экрана достаточно переименовать файлик desk.cpl который лежит в system32, но это конечно не помешает ему передвигать ярлыки и т.д.

Посмотри gpedit.msc

разница в том, что для локального пользователя необходимо использовать настройку локальных политик безопасности, как рекомендовал Tigr, а для доменных пользователей применяйте настройку групповых политик безопасности через оснастку AD - пользователи и компьютеры - правый клик на имени домена - свойства - групповые политики - Изменить.

все настройки в обоих случаях следует выполнять для пользователя - административные шаблоны (- далее по желанию - например Рабочий Стол).

А можно ли сделать гибче (и для локальных и для доменных пользователей)? Т.е. для одних пользователей, например Администраторов, можно изменять (ну, скажем, фоновый рисунок), я для обычных юзеров нельзя...

А-то вышеперечисленное замечательно работает (даже локальный админ не может поменять рисунок рабочего стола, не изменив вначале эту политику), хотелось бы в админовском профиле (я имею здесь в виду локального админа) уж смочь сделать некоторые вещи, недоступные обычным юзерам..

Нет, без домена это не сделать

А с доменом можно?
И как, если да?
Я имею в виду доменовского админа. А-то если сделать так как сказал SkyF, то эта политика, например, запрет смены рисунка рабочего стола, задевает также и админа доменовского...что не очень приятно :)

shark21
На Администратора домена она действует потому что он, как и все остальные учетные записи попадает под действие этой политики. Тк она прикреплена на уровне всего домена. Так?

Но в AD можно съузить диапазон. вы можете создать свое Организационное подразделение, переместить в него какие-либо учетные записи ( не группы) и свой Объект групповой политики и подключите этот ОГП на это подразделение. Следовательно - все что вы там определите для пользователей в групповой политике -будет применяться к тем учетным записям, которые вложены в это ОУ и ниже по иерархии.

Но, другое дело что Вы уже изменили (те настроили) Объект Групповой политики на уровне домена (Default Domain Policy). Так вот, если бы сразу создать новый ОГП , а не изменять тот что по умолчанию (надо было сразу сказать это), то можно было бы его просто отключить от уровня домена и подключить в другое место в AD.

СОВЕТ: Никогда не изменяйте те ОГП, что установлены по умолчанию.

Вернул в Default Domain Policy все обратно.
Создал в домене новое подразделение и в нем юзера, экпериментирую....
В свойствах подразделения создал групповую политику New, в ней кое-что изменил, в смысле включил кое-какие политики.
Сохранил, обновил...Но при загрузке нового профиля на клиентской машине все равно изменения запрещенные политиками возможно делать...
По-видимому действует Default Domain Policy, что-то еще в настройках, наверное, забыл прописать...
Вот это, наверное, надо сделать каким-то образом... А как?

груповые политики состоят из 2х частей: Объекта групповой политики (ОГП), те это и есть сами настройки, и связей этого объекта с сайтов или доменов или любым количеством ОУ. Конечно, как правило создается новый ОГП и подключается к одному из вышеперечисленных мест.
это я и имел ввиду, что лин просто перебросить из уровня домена, на уровень подразделения с необходимуми учетными записями. Но, для политик по умолчанию это делать не следует.

Вы же все правильно сделали - новое ОУ, новая политика на нем..

только я не могу сказать почему у вас не работает, и что вы настраивали за параметы, структура применения настроек слишком сложна и и зависит от многих параметров.

укажите, что вы настроили и как проверяли.

1) Открываю Active Directory -пользователи и компьютеры
2) Щелкаю по названию домена, создать подразделение
3) Щелкаю св-ва подразделения/групповая политика
4) Создать, задаю имя
5) Изменить, конфигурация пользователя/административные шаблоны/панель управления/экран и там включаю политику "запретить изменение фонового рисунка"
6) Применить
7) Создаю пользователя в этом подразделении
8) Щелкаю правой по названию домена и "Обновить"

Проверяю на клиентском компьютере, загружая этот новый профиль и там пытаюсь поменять рисунок рабочего стола, причем успешно...:( т.е. политика не работает...

есть такой файлик ntuser.dat он лежит в папке профиля пользователя описывающий профиль пользователя, если его настроить и переименовать в ntuser.man то никакие изменения касающиеся профиля пользователя сохраняться не будут...
... :(  правда если что то сохранить на рабочем столе - то после прегрузки ты ничего не найдешь...

А можно по подробней разказать как это делается
или напишите где почитать


[s]Исправлено: Sergius, 14:42 8-07-2004[/s]

shark21
А пользователь у вас в какие группы входит? Он должен быть домен-юзерс и пользователь подразделенияи не должен быть админом домена. Тогда он не сможет менять, а админ дломена-сможет

shark21
как изменяете? в свойствах экрана все элементы на закладке фон при этом не активны.. верно? или вы по иному изменяете?

А у меня похожая проблема. Дело вот в чем. Есть групповая политика домена по умолчанию Default Domain Policy вот ее то я и начал в своё время править (кто ж знал что не трогать). Правил, правил и всё замечательно работало и работает. Любые изменения тутже вступали в силу. Но теперь мне понадобилось создать Подразделения и соответственно создать у них свою групповую политику. Значится 1) Открываю Active Directory -пользователи и компьютеры 2) Щелкаю по названию домена, создать подразделение 3) Щелкаю св-ва подразделения/групповая политика 4) Создать новую политику, обзываю и делаю какие изменения мне нужны. Выхожу обновляю. Даю команду gpupdate и такую же на тестовом компе (винда ХР) дабы политика вступила тут же в силу. Тренировался на простом - требовать нажимать пользователям при загрузке alt+ctrl+del или не нажимать. Итак в политике домена данная строка стоит "не определено", т.е. никаких галок не стоит, а вот в политике подразделения я галку поставил и сказал чтобы данная комбинаия не требовалась. Перегружаюсь - он у меня просит эту комбинацию. Смотрю логи - политика на клиенте обновилась. Ну думаю ладненько и взял да и отключил политику всего домена (та что по дефолту), а политику подразделения оставил, выхожу даю команду обновления на обоих машинах, перегружась - хрен не пашет политика подразделения. Вот тут то я и в тупик зашел. Что делать ? Если щас политику домена врубить то она заработает отлчино, а вот политика подразделения так и не пашет. Так же тренировался и на других простеньких пунктах - не работают

А вы положили учетные записи нужных пользователей и компьютеров в само подразделение?

После создания подразделения "test" пользователь тестовый был перемещен из общей папки users в подразделение test и после присоединения компа в домен комп сам появился в папке computers. Картинку прилагаю


Ну вот после добавления, а точнее переноса самого КОМПЬЮТЕРА во вновь созданное подразделение из папки computers вСЁ заработало.

karalka
Просто не надо путать Computer Settings и User Settings, вроде всё само за себя говорит.