Здравствуйте!
На Windows Server 2008 SP2 были подняты DNS, DHCP, AD.
Завел пользователей, ввел рабочие станции в домен.
Вдруг какой-то пользователь сел за не свое рабочее место и залогинился под своим именем и паролем. Появилась идея сделать так, чтобы определенный пользователь имел вход только на определенной машине. Залез в свойства пользователя на контроллере домена и в закладке "Учетная запись" указал входить только на определенную машину и тут начались чудеса со всеми учетными записями пользователей. Ни один из них не может залогиниться на свою машину, им выдается сообщение "Интерактивный вход в систему на данном компьютере запрещен локальной политикой". Покопался в локальных политиках на рабочих станциях пользователей, там все нормально. Полез в политики домена, и явно указал, что локально заходить могут "Пользователи домена", раньше там такого не стояло. Вроде все они стали логиниться на свои машины.
Далее появились другие чудеса, у них пропала возможность расшаривать папки; перезагружать и завершать работу из сеанса пользователя, осталось только "завершение сеанса", и соответственно перезагрузить машину или выключить получается только при окне входа в систему; не могут изменить системное время; не могут войти в расшаренную папку, пока не выставлю доступ "Все"... Т.е. чудеса...
Такое ощущение, что после махинаций со "Входом на..." у всех пользователей, даже у тех, кому разрешено входить на все машины, пропали всяческие права.

Не могу разобраться, как все вернуть на прежнее место :(

в закладке "Учетная запись" указал входить только на определенную машину »
Не похоже, что проблемы начались только с одного этого действия!

локально заходить могут "Пользователи домена", раньше там такого не стояло »
Раньше там были просто "Пользователи" и этого было достаточно, т.к. Пользователи домена входят в локальные группы пользователей.

Вы случайно не меняли членство пользователей в группе "Пользователи домена" или не изменяли локальные группы "Пользователи"?
Похоже, что Пользователи домена больше не считаются локальными пользователями на рабочих станциях - поэтому пропали права выключения ПК и пр.

Если проблема в этом, то проще всего будет восстановить групповую политику в исходное состояние, а "Пользователей домена" включить в локальные группы "Пользователи".

PS: Имеет смысл привести вывод утилиты gpresult /V на одном из проблемных ПК под учетной записью конкретного пользователя.
PS2: А как появил домен на Windows Server 2008? Судя по темам, Вы раньше сидели на 2003! Новый домен создали, или миграция была?

Не похоже, что проблемы начались только с одного этого действия! »Именно после попытки указать пользователю логиниться только на конкретную машину появились чудеса...

Вы случайно не меняли членство пользователей в группе "Пользователи домена" или не изменяли локальные группы "Пользователи"?
Похоже, что Пользователи домена больше не считаются локальными пользователями на рабочих станциях - поэтому пропали права выключения ПК и пр.
Если проблема в этом, то проще всего будет восстановить групповую политику в исходное состояние, а "Пользователей домена" включить в локальные группы "Пользователи". »Нет, вот именно ничего не менял в политиках, соответственно даже ума не приложу где и что поменялось после вот такой неудачной попытки :(

PS: Имеет смысл привести вывод утилиты gpresult /V на одном из проблемных ПК под учетной записью конкретного пользователя. »В данный момент нет возможности. Я дома, на работе никого нет. Завтра обязательно отпишусь.

PS2: А как появил домен на Windows Server 2008? Судя по темам, Вы раньше сидели на 2003! Новый домен создали, или миграция была? »Домен создавал с нуля. Все операции производились в отдельной конторе, не в моей. Почему с нуля, потому что стоял пиратский 2003 интерпрайз с глючным доменом и абсолютно без обновлений. Обосновал, что надо покупать лицензию. При попытке ввести в домен 2008 сервер с последующей передачей прав получил информацию, что надо подготовить лес. Лес подготовить не удалось из-за глючного АД на 2003. Думал, что обновлю 2003 до сп2+хот фиксы, пофиксю АД и все-таки совершу миграцию - после обновления до сп2 АД слетела. Утилиты миграции результата не дали, что до обновления, что после, ссылаясь на глючность АД.
Но, это вообще уже не в тему :)

Вы случайно не меняли членство пользователей в группе "Пользователи домена" или не изменяли локальные группы "Пользователи"?
Похоже, что Пользователи домена больше не считаются локальными пользователями на рабочих станциях - поэтому пропали права выключения ПК и пр. »Действительно проблема крылась в том, что группа пропала в политиках. Руками поставил и все заработало, как надо.
Спасибо большое за помощь.

P.S. Вот только вопрос: почему такое случилось именно после того, как я попытался указать пользователю логиниться только на определенный комп через "Вход на..."? Непонятно.