[exo]

Цитата Forpost:

Вопрос: как запретить доступ к реестру »

если пользователь не админ своего компа - доступа не будет.

Цитата Forpost:

правам на определенные директории в Windows Server'e 2012? »

например?

[Forpost]

Цитата:

если пользователь не админ своего компа - доступа не будет.

Не знаю, админ он или нет. Но пользователь, которого я создал на 2012 сервере, и потом уже на клиентской зашел имеет доступ к реестру.

Цитата:

правам на определенные директории в Windows Server'e 2012? »

Не правильно выразился. Непосредственно на самом сервере запретить права для определенных директорий на машинах клиентов, а не бегать на каждую машину и указывать права.

[exo]

Цитата Forpost:

потом уже на клиентской зашел имеет доступ к реестру »

доступ на чтение или изменения? Проверьте, админ он или нет. Зайдите в локальные "пользователи и группы" и проверьте.

Цитата Forpost:

для определенных директорий на машинах клиентов »

я и говорю - например?

[Forpost]

Зашел локально и пользователь числится администратором.

Цитата:

доступ на чтение или изменения

Пользователю запретить чтение, изменение. Однако, программам, которые запустил пользователь разрешить чтение и изменение.

1. Запретить просмотр всех директорий в проводнике, кроме тех, которые на рабочем столе.
2. Запретить изменение, удаление определенных ярлыков на рабочем столе.
И так далее.

[exo]

Цитата Forpost:

Пользователю запретить чтение, изменение. Однако, программам, которые запустил пользователь разрешить чтение и изменение. »

так не бывает. Программы запускаются от имени пользователя. Есои у него нет доступа - и у программ тоже не будет.

Цитата Forpost:

пользователь числится администратором »

локальный админ имеет доступ всюду, даже если запретить политиками - ему ничто не мешает их отключить, и получить доступ.

Давайте пойдём другим путём. Цель у вас какая? Почему хотите закрыть реестр и директории?

[Forpost]

Цитата:

так не бывает.

Бывает.
В Windows 7 для определенного пользователя в груп. политике я запретил доступ к реестру, однако, программы, которые он запускал - прекрасно сохраняли свои настройки в реестра, а также получали свою информацию из реестра.

Цитата:

локальный админ имеет доступ всюду, даже если запретить политиками - ему ничто не мешает их отключить, и получить доступ.

Опять же, в Win 7 для админа, через второго админа, запретил многое, в том числе и перечисленное выше. Сейчас пытаюсь тоже самое запретить только уже централизованно, как у людей)

Цитата:

Цель у вас какая?

Компьютер у пользователей в общем доступе. Они должны запустить приложения, сохранить файлы на рабочем столе, просмотреть файлы на раб. столе и всё
А второй пользователь админ, должен иметь полный доступ.

[exo]

Цитата Forpost:

программы, которые он запускал - прекрасно сохраняли свои настройки в реестра, а также получали свою информацию из реестра. »

а ну так это программы пишут в реестр данного пользователя. Это влияет только на него, а не на всю систему.

Цитата Forpost:

Опять же, в Win 7 для админа, через второго админа, запретил многое »

ну вот первый админ может спокойно все права восстановить.

Цитата Forpost:

Компьютер у пользователей в общем доступе. Они должны запустить приложения, сохранить файлы на рабочем столе, просмотреть файлы на раб. столе и всё »

один компьютер? и ради него домен?
создайте локальных пользователей, настройте им профили, уберите из группы локальных администраторов. У них будет доступ только в "свой реестр", директории своего профиля. А программы уже настроены для всех. новые они не смогут установить (только для себя смогут, как Chrome, например)

[Forpost]

Цитата:

один компьютер? и ради него домен?

Сеть компьютеров.

Цитата:

ну вот первый админ может спокойно все права восстановить.

Пока никто не смог, за год с лишним работы

Цитата:

(только для себя смогут, как Chrome, например)

Нельзя) Даже запуск ехе,com,bat с рабочего стола нельзя запускать.

UPD.
Чуть-чуть разобрался.
Нашел gpmc.msc
Там создал новый объект политики, указал в фильтрах безопасности только юзернэйм клиента и групповой политике в разделе пользователя запретил в проводнике меню "файл", для проверки, вышел и зашел на ХРхе под этим клиентом. Но политика не сработала. В чем может быть проблема?

[exo]

Цитата Forpost:

В чем может быть проблема? »

в логах есть ошибки применения политики? покажите полностью все настройки. К какой OU привязана политика?