Групповые политики "конфигурация пользователя"
 

Возникла необходимость в запуске процесса от Администратора или system на клиентах в домене win2k3, для отдельной группы в active directory создаю обьект групповой политики. В "конфигурация пользователя"--->"конфигурация windows" сценарий входа в систему отлично выполняется на клиентских компах однако с правами текущего пользователя и в дальнейшем он сможет завершить процесс. Если прописываю в "Конфигурация компьютера"-->"Сценарии запуск/завершение" эфект нулевой .
На клиенте gpresult где конфигурация компьютера стоит только Default Domain Policy где конфигурация пользователя, там видно что запускается мой сценарий GPO.

Как сделать чтоб он появлялся и в "конфигурации компьютера" чтоб запускался процесс от имени system и нельзя было его завершить

Тогда в контейнере (к которому применяется политика) должны быть компьютеры (а не пользователи).

сделал батник запускающий процесс как сервис, оказалось что юзеры из группы "Опытные пользователи" спокойно могут останавливать службы стартующие с системной учеткой или любой другой ((

Спасибо, теперь политика срабатывает, но к сожеленью специфика запущеного процесса в его взаимодействии с рабочим столом(скриншоты делает) и так как теперь процесс стартует до логона делаются скрины только видового экрана логона
а не рабочего стола профиля пользователя (

спасибо, это понятно, но оказалось что запускать процесс как сервис все же выходит удобней
Вопрос. есть ли возможность запуска сервиса таким образом чтоб нельзя было его остановить пользователям из группы "опытные пользователи"

После того, как создадите службу обратите внимание на команды
sc sdshow
sc sdset

Group Policy - Comp. conf. - Windows Settings - Security Settings - System Services - Properties - Define - Edit Security