关于2003域和组策略的一些问题。

你的问题貌似有以下几点
1 用户是域用户身份，但是可以完全控制他的本地计算机
2 不允许普通用户访问server
3 不允许普通账户创建本地的administrator

找到server的域用户和计算机管理，把user的“隶属于”添加一个administrators (这个是本地管理员组添加上即可)这样可以让他们完全使用本地资源

域控制器默认就不允许非管理员成员登录，你检查一下域控制器安全策略的权力，应该没有users，或者添加一个拒绝登录

无法阻止让本地administrator创建另一个administrator，你只能让他必须登录到域（不出现登录到本地的选项）

我们知道WIN2K系统最大的突破性和成功之一就在于它全新引入“活动目录（Active Directory）服务”，使得WIN2K系统Internet上的各项服务和协议更加联系紧密，因为它对目录的命名方式成功地与”域名“的命名方式一致，然后通过DNS进行解析，使得与在Internet上通过WINS解析取得一致的效果。 活动目录也说明了Microsoft在网络结构方面的策略转移，虽然在以前NT时代也有部分产品（EXCHANGE SERVER、IIS等）提供过类似于活动目录的服务，然而活动目录作为一个全新的综合服务方式是在WIN2K的诞生后随之而的。活动目录的身影似乎在整个WIN2K系统中无处不在。然而要真正了解“活动目录”的方方面面又谈何容易，下面就想通过一些通俗的讲解花几个篇章对活动目录的各主要方面作一详尽的分析，希望对那些对WIN2K的活动目录还存有畏惧心理的新手一个全面认识的机会。 FzX(
一、活动目录的由来 @g
谈到活动目录最使人容易想起的就是DOS下的“目录”、“路径”和Windows9X/ME下“文件夹”，那个时候的“目录”或“文件夹”仅代表一个文件存在磁盘上的位置和层次关系，一个文件生成之后相对来说这个文件的所在目录也就固定了（当然可以删除、转移等，现在不考虑这些），也就是说它的属性也就相对固定了，是静态的。这个目录所能代表的仅是这个目录下所有文件的存放位置和所有文件总的大小，并不能得出其它有关信息，这样就影响到了整体使用目录的效率，也就是影响了系统的整