Имеется: Windows 2008 R2, RemoteApps. Нужно дать "посторонним" возможность выполнить приложение, но максимально ограничить в правах.

Интуиция подсказывает, что нужно что-то менять в групповых политиках. А вот что? Может есть уже готовые шаблоны? Или с чего начать? Терминальный пользователь оказался "очень продвинутым" и вместо того, чтобы работать с приложением, начал копаться в AD. Когда ограничили например выход в интернет через IE, он скачал Chrome, и т.д.

Что делать, с чего начать? Я не администратор, а проблему нужно решать. Нового администратора уже ищут.

Может есть хорошая статья или ссылка? Буду очен признателен, если кто-нибудь подскажет, как разрешить только выполнить RemoteApp, а в остальном полностью ограничить.

Спасибо

уволить пользователя :)

Думаю что поможет вот это - http://technet.microsoft.com/ru-ru/library/cc264467(en-us).aspx

PS если на сервере установлено лишнее то удалите все ненужные консоли.
Отключите доступ в интернет для этого сервера.

Уволить его нельзя. Это не сотрудник, это клиент. Ему предостовляется на хостинге возможность использовать вебприложение. Ему дали RDP файл. А он, ...., ищет уязвимости. И находит. Пока он кооперируется и сообщает о том, что он сделал. Но вот что будет, если ему надоест и он перестанет сообщать о своих "подвигах". Есть ли список или шаблон какой-то, где собраны все уязвимости. Когда-то например я читал инструкцию, как можно настроить Киоск-Компьютер.

как я понимаю этот сервер является ещё и контроллером домена?
это не есть хорошее решение, но тем не менее можно изрядно облегчить себе жизнь парой относительно простых шагов:
- отобрать у пользователя права Domain administrators
- включить и настроить SRP (software restriction policy), поставив уровень по умолчанию "запрещено всё что не разрешено" и добавить нужные ему приложения по хешу

добавлю к сказанному выше
1. отключить LM Hash
2. забрать все лишние права
3. удалить весь лишний софт
4. настроить файервол или вынести сервер в DMZ
cameron, хм...
судя по всему нужно еще дать линк по SRP?
Думаю что вот это (http://support.microsoft.com/kb/324036) вполне подойдет.

Ему предостовляется на хостинге возможность использовать вебприложение. Ему дали RDP файл. »
не совсем понятна связь между вэб приложением и remote app, поэтому для дальнейших рекомендаций, если они вам понадобятся, будет лучше если вы напишите подробнее.

Сначала большое спасибо всем откликнувшимся и за ссылки особенно. Есть теперь, что перед сном почитать.

По существу. Нет, это не доменный контроллер. Но пользователь член "Терминальной группы", а у них прав больше, чем у обычных пользователей. Сначала ему удалось запустить ADSIEdit и получить данные АД. В основе вебприложений лежит SharePoint фарм. На Терминальном сервере установлена клиентская программа. Она и предоставлена в качестве RemoteApps. Некоторые ограничения конечно-же имплементированы с помощью GPO. Но он всё еще может, например при помощи поиска сетевого принтера (а возможность печати ему должна быть предоставлена) получить допуск к файловой системе. Или например через ODBC. А из нее поподает в Control Panel, несмотря на то, что доступ (как мне казалось) уже был ограничен.

По существу. Нет, это не доменный контроллер. Но пользователь член "Терминальной группы", а у них прав больше, чем у обычных пользователей. Сначала ему удалось запустить ADSIEdit и получить данные АД. »
на чтение - да. не более того.
Некоторые ограничения конечно-же имплементированы с помощью GPO. Но он всё еще может, например при помощи поиска сетевого принтера (а возможность печати ему должна быть предоставлена) получить допуск к файловой системе. »
в 2008 r2 отлично работает easy print, соотно никакие поиски принтеров не нужны, он мапится в сессию автоматом.