Имеется домен с AD. В домене существуют пользователи  трех разных категорий - админы - которые что хотят то с компами и творят, юзера - которые могут только свои файлы сохранять-удалять и третья группа - которая может делать что хочет пока это не коснется системы.

Мне удалось пока раздавать пользователям права либо как админам, либо как последним юзерам.

Вопрос - как создать группу т.н. Power users в домене. Что и где настроить?

Проставь не каждой локальной тачке членство юзверя в локальной группе PowerUsers.

Нифига - данный юзер не является локальным, поэтому добавить его никуда нельзя. Там из локальных вообще только админ есть.

Членство юзера должно быть на домен-контроллере.

Заходишь в Панель Управления полетами :)
Выбираешь Пользователи и Пароли
Там ты можеш для Доменных юзверей распределять локкальные права на ДАННУЮ тачку.
Тобиш чтоб Доменный юзверь стал Админом тут или Гостем ...
!!!! У меня так пару тачек в офисе пашет - 100%

Угу... все не так просто как казалось но вполне возможно.

Теперь следующий вопрос.
Как раздавать права на доступ к расшареным папкам для доменных групп?

например есть папка c:\temp  надо чтобы группа dg1 могла только смотреть содержимое папки, а группа dg2 могла менять содержимое.

Группы заданы в AD-users&computers на сервере домена.

Ну енто вообще без проблем.
Далаеш в АД две групы dg1 и dg2, если у тебя компы входят в домен, то ты в свойствах папки (Share) одной групе даешь права чтения а второй записи, усе.
У меня так пашет часть папок и даже!!! принтер (одни могут токо печатать, а другие редактировать очередь печати).

Это если шара на контроллере домена лежит.
А если шара на юзерском компе?

:splat:,
я и говорю про шару не на контролере, а на workstation.
В доступе (или безопасности) у тебя список юзверей, групп, компуьтеров домена, а не локальных (!!!при условии чтот тачка входит в домен!!!!).
Ты при загрузке винды видиш табличку
Login
Passwd
Domain
Че у тебя на против надписи Domain?
Должно быть имя домена.
PS: В доступе (или безопасности) сверху есть выпадающий список в котором обычно два пункта "Лок. домен(Имя компа)" и "Глоб домен (Имя домена)".

ессно компутер входит в домен
при входе выбирается юзер с паролем из домена
но

в доступе или безопасности немогу выбрать объект (пользователя, группу и т.п.) не с локальной машины
в меню вызываемом по кнопке "размещение" нет ничего кроме локальной машины.

На папке правой кнопкой -> Доступ -> Закладка Безопасность -> Жмешь добавить -> Выскакивает окно
Сверху окна выпадающий список про который я тебе говорил,
правда я не понял что такое кнопка "РАЗМЕЩЕНИЕ"
Еще вопрос, каакая система стоит на workstation?

win Xp prof
там выскакивающее окошко другое

Усек, ща под рукой нету ХР, и дома нету - пол года назад снес,
но прикол там был вот в чем:
Где-то, по моему в "Свойствах папки" Експлорера стоит по умолчанию галочка в духе "Ламерское управление компутером", точно не помню как она называлась.
Так вот, если ее убрать, то получиш такую же менюшку как  в win2000, а с галочкой она большую часть "опасных" возможностей просто не показывает.
Кагдато из за ентой бяки два дня угробил :).
PS: Извиняюсь за столь расплывчатое обьяснение, просто ХР давно в руках не держал, но найти по смыслу реально.

Ха... ясен перец галка была сразу снята.
И тем не менее беда остается...

Ну тогда не знаю, появится тачка в офисе свободная, намотаю ХР,
но до ентого у меня проблем таких не было, ХР в домене пахала как 2000, ну точнее чуть хуже, но права и политики почти не отличались.

отлично - буду ждать ответа... сам уже месяц наверно мучаюсь с этим доменом... проклял все... =)

Хто розкажет ламеру что такое домем???
может это просто рабочая грепа, или нет!!!

я не очень понял.... домен из Винды ХР Профи можно сделать?

wwwSerg,
может это просто рабочая грепа, или нет!!!
Ну енто очень грубо говоря, хотя похоже, основная разница чтот управляется данная "рабочая группа" с сервера, и там находятся все записи пользователей, груп и т.д. ....
Absolut
Домен НЕЛЬЗЯ сделать ни на 95, 98, NT4 Workstation, 2000 Prof, XP Prof.
Домен делается в NT4Server, 2000 Server & AdvServ, 2003.
Ну и еще на всяких Linux, BSD с Самбой 3 и выше (и немного ниже) :)

у меня похожий вопрос: http://forum.oszone.net/showthread.php?p=352668#post352668