Добрый день. Есть пользователь, живущий в другой стране и подключающийся по впн к специально выделенному для него компу. На этом компе, данный пользователь локальный администратор. Как при помощи ГП запретить этому юзеру доступ ко всем шарам в сети и ко всем остальным компам(терминально)? Спасибо за ответы.

Убрать его из группы "Пользователи домена", оставить ему только группу по которой он получает права к авторизации на VPN.

Это я сделал, но у меня на всех шарах, при создании шары есть доступ по дефолту для Everyone. (Кстати может знаете, как это отключить). Каждую шару закрывать ручками - я с ума сойду.

Сетевой доступ к шарам в идеале должен быть "Все" - на изменение.

А вот права доступа могут быть любыми. В идеале на файловом сервере на жесткий диск надо дать права:
Система - изменение.
Администраторы - полный доступ.
Юзеры - нет доступа.
с распространением на приведущее.

Потом заводить группы в домене и давать права на каталоги винта, конкретно тем кому они полагаются. И тогда любой человек сможет подключиться к сетевой шаре но не сможет прочитать ни одного файла/каталога.

Отвечу сам. Создал OU в который поместил все компы в сети, кроме того, к которому у пользователя должен быть доступ. После чего создал дла этого OU групповую политику в которой изменил computer configuration\windows settings\security settings\local policies\user rights assignment\deny acess to this computer from the network . Тут указал имя пользователя, который не должен иметь доступ ко всем компам\шарам. Т.к. комп с которым ему надо работать не находится в одном OU со всеми машинами, то на него эта политика не действует и пользователь спокойно на него коннектится. Единственное но: с такой политикой юзер сможет законектистя локально на машину, это защита только от сетевого подключения.

Добавить пользователя в правило "Запрет к доступам к компьютерам из сети"

просто......