Divido meus usuários em dois grupos de GPO: acesso restrito e acesso liberado. Uso isso para controlar o acesso à internet. Funciona bem para o meu caso, já que não tenho o ISA.
Só que eu preciso proteger a área de trabalho deste pessoal do "acesso restrito". É uma conta compartilhada por várias pessoas (turnos diferentes de trabalho, tela de operação básica) e sempre tem um engraçadinho que apaga ou esconde um ícone necessário para os demais.
O que quero então é configurar a Área de Trabalho e impedir que o usuário altere-a de forma definitiva... ele pode mudar para o expediente dele, mas quando houver novo logon ela precisa voltar ao seu estado original.
Logue na máquina ou nas máquinas como administrator e no perfil desta conta, renomeie o NTUSER.DAT para NTUSER.MAN desta forma o perfil do usuário será mandatório, mesmo que alterado ele voltará ao default que vc definiu.
