Непонятные проблемы с политикой безопасности у пользователей
 

Здравствуйте!
На Windows Server 2008 SP2 были подняты DNS, DHCP, AD.
Завел пользователей, ввел рабочие станции в домен.
Вдруг какой-то пользователь сел за не свое рабочее место и залогинился под своим именем и паролем. Появилась идея сделать так, чтобы определенный пользователь имел вход только на определенной машине. Залез в свойства пользователя на контроллере домена и в закладке "Учетная запись" указал входить только на определенную машину и тут начались чудеса со всеми учетными записями пользователей. Ни один из них не может залогиниться на свою машину, им выдается сообщение "Интерактивный вход в систему на данном компьютере запрещен локальной политикой". Покопался в локальных политиках на рабочих станциях пользователей, там все нормально. Полез в политики домена, и явно указал, что локально заходить могут "Пользователи домена", раньше там такого не стояло. Вроде все они стали логиниться на свои машины.
Далее появились другие чудеса, у них пропала возможность расшаривать папки; перезагружать и завершать работу из сеанса пользователя, осталось только "завершение сеанса", и соответственно перезагрузить машину или выключить получается только при окне входа в систему; не могут изменить системное время; не могут войти в расшаренную папку, пока не выставлю доступ "Все"... Т.е. чудеса...
Такое ощущение, что после махинаций со "Входом на..." у всех пользователей, даже у тех, кому разрешено входить на все машины, пропали всяческие права.

Не могу разобраться, как все вернуть на прежнее место :(

Не похоже, что проблемы начались только с одного этого действия!

Раньше там были просто "Пользователи" и этого было достаточно, т.к. Пользователи домена входят в локальные группы пользователей.

Вы случайно не меняли членство пользователей в группе "Пользователи домена" или не изменяли локальные группы "Пользователи"?
Похоже, что Пользователи домена больше не считаются локальными пользователями на рабочих станциях - поэтому пропали права выключения ПК и пр.

Если проблема в этом, то проще всего будет восстановить групповую политику в исходное состояние, а "Пользователей домена" включить в локальные группы "Пользователи".

PS: Имеет смысл привести вывод утилиты gpresult /V на одном из проблемных ПК под учетной записью конкретного пользователя.
PS2: А как появил домен на Windows Server 2008? Судя по темам, Вы раньше сидели на 2003! Новый домен создали, или миграция была?

Именно после попытки указать пользователю логиниться только на конкретную машину появились чудеса...

Нет, вот именно ничего не менял в политиках, соответственно даже ума не приложу где и что поменялось после вот такой неудачной попытки :(

В данный момент нет возможности. Я дома, на работе никого нет. Завтра обязательно отпишусь.

Домен создавал с нуля. Все операции производились в отдельной конторе, не в моей. Почему с нуля, потому что стоял пиратский 2003 интерпрайз с глючным доменом и абсолютно без обновлений. Обосновал, что надо покупать лицензию. При попытке ввести в домен 2008 сервер с последующей передачей прав получил информацию, что надо подготовить лес. Лес подготовить не удалось из-за глючного АД на 2003. Думал, что обновлю 2003 до сп2+хот фиксы, пофиксю АД и все-таки совершу миграцию - после обновления до сп2 АД слетела. Утилиты миграции результата не дали, что до обновления, что после, ссылаясь на глючность АД.
Но, это вообще уже не в тему :)

Действительно проблема крылась в том, что группа пропала в политиках. Руками поставил и все заработало, как надо.
Спасибо большое за помощь.

P.S. Вот только вопрос: почему такое случилось именно после того, как я попытался указать пользователю логиниться только на определенный комп через "Вход на..."? Непонятно.