Ограничение прав локального пользователя Win7 / Windows 7
 

Всем привет!
Есть машина под управлением Win7, на диске два раздела, C, D.
На диске C в основном программы, диск D - под файло-помойку.
Я создал пользователя, добавил его в группы Пользователи и пользователи удаленного рабочего стола.
Однако, как оказалось, этого мало, зайдя под пользователем по RDP, я все же смог удалять программы, файлы с C раздела, и прочее.
Как мне ограничить в правах пользователя так, чтобы он :
1) Не мог создавать ничего на системном диске С, кроме своей папки, в C:\Users.
2) Не мог удалять ничего с диска C, кроме своих файлов в C:\Users.
3) Не мог удалять/устанавливать программы в системе.
4) Мог пользоваться удаленным рабочим столом.
5) Имел полный доступ к разделу D.

Учитывая группу Пользователи, я думал, что она как раз включает в себя все эти требования. Однако на диск С установлены еще разрешения на группу Прошедшие Проверку, которые ,как я понимаю, перекрывают права, добавляя ненужные.
Как мне сделать так, как я описал?
Разбираться в политиках и ntfs-разрешениях?
Заранее спасибо!

aarexer, ПКМ на диске D -> Вкладка "Безопасность" - > Изменить -> устанавливаете галочку напротив "Полный доступ" для вашего пользователя -> Применить -> ОК.
aarexer, Пользователь с простыми правами и так не может устанавливать/удалять программы из системных директорий. Он может лишь устанавливать некоторые программы (браузеры, мессенджеры и т.д.) в папку своего профиля. Чтобы он и этого не мог сделать необходимо разбираться с политикой ограниченного использования программ.
Про политику ограниченного использования программ

Это понятно, это ntfs-разрешения
Говорю же, я добавил пользователя в группу Пользователи и Пользователи Удаленного Рабочего стола.
После чего по rdp зашел под ним и спокойно в Установке/Удаление программ удалил программу. Как вот это запретить?
Файлы я создать не смог, но удалить с системной директории C:/ смог.
При этом, конечно, выскочило окно типа удаление требует Админских привелегий, нажал продолжить и все спокойно удалилось.
Как так?

Что в политиках:
AlwaysInstallElevated (Windows)
Always install with elevated privileges (User)
?

пробуйте через консоль. Win+R - mmc.exe - Консоль- Добавить или удалить оснастку - Редактор объектов групповой политики - нажимаете Обзор и выбираем нужного Вам пользователя - затем изменяете групповую политику для него.


запретите ему просмотр и т.д. дисков. Конфигурация Пользователя - Административные шаблоны - Компоненты Windows - Проводник Windows - тут смотрите, что кому запретить.

для Пользователей Удаленного Рабочего стола имеются три стандартных настроенных набора разрешений. это:
- Полный доступ
- Доступ пользователя
- Доступ гостя

Вот и назначьте им нужные права.

aarexer, Можете запретить пользователю доступ к возможностям функций "Программы и компоненты".
Win+R -> gpedit.msc -> Конфигурация Пользователя -> Административные шаблоны -> Панель управления -> Программы
Под пользователем выполните whoami /groups и выложите рез-т команды.

Все, разобрался, надо было после добавления в другую группу пользователя и удаления из Администраторов было сделать ребут системы.

aarexer, Рад за вас :)
Отмечайте тему решённой: Как сообщить о том, что моя проблема решена?

А почему нужна была перезагрузка?

aarexer, Перезагрузка нужна в том случае, если вы забрали у пользователя, под которым работаете (из-под него же), права администратора.

Это не так, и никогда так не было.

WindowsNT, Сейчас нет 7-ки под рукой, в XP проверил, все так как я говорил.
Добавил из под пользователя "Администратор" пользователю "Пользователь" права Администратора, завершил сеанс "Администратор" и залогинился как "Пользователь", под ним зашел в Локальные пользователи и группы - Пользователи - ПКМ на профиле "Пользователь" - Свойства - вкладка Членство в группах - удалил оттуда "Администраторы".
После попробовал остановить службы через services.msc - Успех, смена времени - Успех, заход в "Управление дисками" - Успех, "Дефрагментация диска" - Успех, форматирование раздела ЖД - Успех. Нужны еще доказательства?
При завершении сеанса, как говорил коллега Iska или перезагрузке у пользователя исчезают права администратора.

Любые изменения членства в группах вступают в силу при перелогоне.
Перезагрузка никак и никогда не была нужна.