[Blast]

shark21
для того чтоб пользователь (все пользователи этой машины) не мог изменять св-ва экрана достаточно переименовать файлик desk.cpl который лежит в system32, но это конечно не помешает ему передвигать ярлыки и т.д.

[Tigr]

Посмотри gpedit.msc

[SkyF]

Цитата:

И в чем разница будет, если делать это для локального или  доменного профиля?

разница в том, что для локального пользователя необходимо использовать настройку локальных политик безопасности, как рекомендовал Tigr, а для доменных пользователей применяйте настройку групповых политик безопасности через оснастку AD - пользователи и компьютеры - правый клик на имени домена - свойства - групповые политики - Изменить.

все настройки в обоих случаях следует выполнять для пользователя - административные шаблоны (- далее по желанию - например Рабочий Стол).

[shark21]

А можно ли сделать гибче (и для локальных и для доменных пользователей)? Т.е. для одних пользователей, например Администраторов, можно изменять (ну, скажем, фоновый рисунок), я для обычных юзеров нельзя...

А-то вышеперечисленное замечательно работает (даже локальный админ не может поменять рисунок рабочего стола, не изменив вначале эту политику), хотелось бы в админовском профиле (я имею здесь в виду локального админа) уж смочь сделать некоторые вещи, недоступные обычным юзерам..

[Guest]

Нет, без домена это не сделать

[shark21]

А с доменом можно?
И как, если да?
Я имею в виду доменовского админа. А-то если сделать так как сказал SkyF, то эта политика, например, запрет смены рисунка рабочего стола, задевает также и админа доменовского...что не очень приятно

[SkyF]

shark21
На Администратора домена она действует потому что он, как и все остальные учетные записи попадает под действие этой политики. Тк она прикреплена на уровне всего домена. Так?

Но в AD можно съузить диапазон. вы можете создать свое Организационное подразделение, переместить в него какие-либо учетные записи ( не группы) и свой Объект групповой политики и подключите этот ОГП на это подразделение. Следовательно - все что вы там определите для пользователей в групповой политике -будет применяться к тем учетным записям, которые вложены в это ОУ и ниже по иерархии.

Но, другое дело что Вы уже изменили (те настроили) Объект Групповой политики на уровне домена (Default Domain Policy). Так вот, если бы сразу создать новый ОГП , а не изменять тот что по умолчанию (надо было сразу сказать это), то можно было бы его просто отключить от уровня домена и подключить в другое место в AD.

СОВЕТ: Никогда не изменяйте те ОГП, что установлены по умолчанию.

[shark21]

Вернул в Default Domain Policy все обратно.
Создал в домене новое подразделение и в нем юзера, экпериментирую....
В свойствах подразделения создал групповую политику New, в ней кое-что изменил, в смысле включил кое-какие политики.
Сохранил, обновил...Но при загрузке нового профиля на клиентской машине все равно изменения запрещенные политиками возможно делать...
По-видимому действует Default Domain Policy, что-то еще в настройках, наверное, забыл прописать...

Цитата:

то можно было бы его просто отключить от уровня домена и подключить в другое место в AD.

Вот это, наверное, надо сделать каким-то образом... А как?

[SkyF]

Цитата:

то можно было бы его просто отключить от уровня домена и подключить в другое место в AD.

груповые политики состоят из 2х частей: Объекта групповой политики (ОГП), те это и есть сами настройки, и связей этого объекта с сайтов или доменов или любым количеством ОУ. Конечно, как правило создается новый ОГП и подключается к одному из вышеперечисленных мест.
это я и имел ввиду, что лин просто перебросить из уровня домена, на уровень подразделения с необходимуми учетными записями. Но, для политик по умолчанию это делать не следует.

Вы же все правильно сделали - новое ОУ, новая политика на нем..

только я не могу сказать почему у вас не работает, и что вы настраивали за параметы, структура применения настроек слишком сложна и и зависит от многих параметров.

укажите, что вы настроили и как проверяли.