Вопрос по AD
 

Есть домен Win2003 с DNS и пользователями, есть рабочие станции на ХР (фс-NTFS) . Надо настроить так чтобы на рабочих станциях пользователи могли писать только в свой профиль (Мои доки и Раб.стол), и нельзя было писать на С, в корень и т.п. Т.е. я нашел, как это запретить, но локально, на каждом ПК назначать пользователя на папки, а как это сделать централизовано, чере AD?? Такой политики я не нашел, находил только запрет на перемещение пользователям Мои доки. Или можно как-то такую политику создать?? Сорри, если это ламерские вопросы. :)
З.Ы Домен крутится на виртуальной машине Селерон 2,5 и памяти выделено под виртуалку 256 метров, политика (даже простейшая - разрешение изменение системного времени) применяется на виртуалке больше 2 часов. Понимаю, что это плохо, но как можно увеличить время быстродействия политики..Буду благодарен, если подскажете ресурсы по групповым политикам, ну и вообще..

echo y|cacls c:\ /p "*Администраторы":f "все":r

А можно пояснение к Вашему ответу, что это, для чего..А то сижу мозг ломаю, к чему данная команда приведет...

Она разрешает всем администратором домена доступ на запись к диску С:
И только для чтение на диск C: для пользователей домена

Но эту команду я так понимаю надо выполднять на клиентском ПК, т.е. на рабочей станции. А можно ли для этого сделать политику, или осуществлять это как-то централизованно, т.к. ПК в сети примерно около 40 штук..Конечно как вариант, эту команду можно запихать в батник и активировать его при входе клиентов в систему..Тогда еще вопрос, где можно найти справочник по таким командам, т.к. чувствую вопросов будет много, не хотелось бы засорять форум! Есть ли это во встроенной справке, например. И вообще, посмотрев AD мне показалось, что политик там не так уж и много, можно ли как-то создавать свои и как (если можно)?

По "таким" - это каким? cacls /?
По поводу групповых политик - их довольно немало. Хочется создать что-то свое, посмотрите, например, здесь и здесь