Доброго времени суток, с Windows 2008 R2 SP1 впервые столкнулся только на этой неделе, поэтому многих вопросов не знаю. Сеть в рабочей группе, домена нет.
В частности будет терминальный сервер под 1С и нужно политиками или других каким-то методом ограничить пользовательские терминальные права, в частности скрыть диски из проводника, поубирать из Пуск лишние элементы, запретить запуск IE.
Заранее благодарен за помощь.

Maza11, посмотрите в сторону RemoteApp (http://technet.microsoft.com/ru-ru/library/cc731340(v=ws.10).aspx). По-моему, как раз Ваш случай.

посмотрите в сторону RemoteApp. По-моему, как раз Ваш случай. »
нужна обычная терминалка. чтобы можно было "выкидывать" сеансы. разбираться с RemoteApp времени нет, да и много удаленных офисов, которым это все прийдется объяснять. На удаленных офисов плохой инет, с частым и обрывами, поэтому обычная терминалка предпочтительней

http://technet.microsoft.com/ru-ru/library/cc736643.aspx

http://technet.microsoft.com/ru-ru/l.../cc736643.aspx »
это я знаю ,но нужно работать в 2-3 базах одновременно, поэтому у пользователей есть рабочий стол

разбираться с RemoteApp времени нет
Вы дольше будете разбираться со своими "запрещалками", поверьте.

На удаленных офисов плохой инет, с частым и обрывами, поэтому обычная терминалка предпочтительней
А RemoteApp, по-вашему, совсем необычная? Это именно ваш случай!

ну так что, как сделать допустим группу GPO и применить к ней ограничения, а потом просто включат в эту группу нужных пользователей ???

Maza11, о каком GPO речь? У вас же нет домена с AD.

о каком GPO речь? У вас же нет домена с AD. »
речь идет о ограничение прав локальных пользователей редактором групповой политики (gpedit) на сервере в рабочей группе. Но что бы эти изменения были только для одной группы. Допустим создать группу GPO (или другим названием) и применить к ней политиками ограничения, а потом только добавлять в эту группу нужных пользователей. Считаю это будет правильно и удобно. Ковыряться в реестре для каждого нового пользователя это совсем неправильно. неужели в 2008 server нет такой простой функции как ограничение прав по группам?

речь идет о ограничение прав локальных пользователей редактором групповой политики (gpedit) на сервере в рабочей группе. Но что бы эти изменения были только для одной группы.
Вы хоть раз запускали редактор локальной политики? Видели там погруппную настройку? Вот, именно, её там нет.

Допустим создать группу GPO (или другим названием) и применить к ней политиками ограничения, а потом только добавлять в эту группу нужных пользователей.
Доменными политиками - да.

Ковыряться в реестре для каждого нового пользователя это совсем неправильно.
Про стартовые скрипты и командные файлы вы не слышали?

вообщем я сильно удивлен. чт она этом ресурсе мне не смогли помочь с таким не самым сложным вопросом, решение нашел самостоятельно и называется оно "Множественной локальной групповой политикой".
http://www.microsoft.com/ru-ru/business/smb/blog/post-view.aspx?id=53

вот только из политик не смог убрать пункт "Администрирование" из пуск и запретить Диспетчер задач, несколько раз пересмотрел уже.

запретить Диспетчер задач
Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ

Конфигурация компьютера -> Конфигурация Windows -> Параметры безопасности -> Политики ограниченного использования программ »
в множественных политиках недоступен Конфигурация компьютера, там только конфигурация пользователя, поэтому и не смог запретить