Запуск программ из под юзера в домене

[zondm]

Возникла проблема установил рабочую станцию XP prof которая входит в win server 2003 домен. Настроил ее установил все программное обеспечение под логином администратора. Все работает. Логинится простой пользователь и при это у него отказываются работать некоторые программы (ICQ, 1C, ACDSee и т.д.). С ошибкой, что не хватает прав. Если этого пользователя вносить в группу администраторы домена то все работает. Но это есть не совсем правильно. Насколько я понимаю это все можно решить групповой политикой в домене. Но где и как? Ответы типа надо подправить ветку реестра для этой программа для конкретного Usera не корректны, так это проблема не должна решаться, или типа дать права на папку где стоит программ из той же оперы, а если FAT32 то о каких правах может идти речь.
Может, кто сталкивался и знает где именно в политиках задаются права на запуск и инсталляцию программ на рабочих станциях для простых смертных.

[and3008]

Программы бывают разные. И они вносят различные модификации в реестр и в операционную систему. Нет волшебной кнопки "Разрешить юзверям ставить софт". И единой рецептуры тоже нет.

Микрософт рекомендует разработчикам писать правильные MSI-файлы. Но множество разработчиков очень "умны", а некоторый софт просто стар и не умеет делать желаемого.

Вы можете включить пользователя в группу "Опытный пользователь". Обычно этого достаточно для большинства случаев...

[zondm]

Уважаемый Free-Lancer! В том то и загвоздка, давал даже права админа домена, схемы, предприятия - без толку. Хочу уточнить, что у юзеров XP sp3.

[v.mikhailov]

Система следующая. качаем reg mon (утилита Руссиновича сливается с офф сайта МС) запускаем, ставим фильтр "Запись + FAIL" утилита начинает мониторить всё что присходит с реестром когда в него что то не может записаться.

1. после этого запускаем из под ущербного пользователя софт + мониторим что происходит. софт не запускается а у нас образуется список значений в которые мы не можем что то записать, затем выставляем права на нужные ветки реестра пробуем запускать снова если вылезли косяки со следующего этапа - правим их по той же схеме, опять проверяем. и так до победного. Таким оразом у нас оказывается на руках список веток реестра или отдельных ключей на которые нужны права на запись. После этого мы думаем можем ли мы все это дать юзеру - если можем см. пункт 3

2. все как в пункте 1 только по файловой системе и с помошью утилиты FileMon. брать там же.

3. на этом этапе у нас выловлены все доп. права которые мы хотим дать, если дать можно то рациональней всего сделать это через ГПО воспользовавшись разделами comp.conf - win settings - security - regisdtry и там же file system

нюансы остались например следующие: если у нас FAT32 - то ничего не получится с ГПО, ну и если папки расположения меняются - пользуемся стандартными переменными для адресации типа %ProgramData%

"Два часа подождать, потом за пол часа долететь" (с)