Добрый день.
Контроллер домена Windows 2008. В домене есть пользователь, у которому нужно дать права на просмотр AD users and computers и всех журналов.
Создаю для него групповую политику. Захожу в User configuration -> Policies -> Administrative Templates -> MMC -> Restricted/Permitted snap-ins
Включаю соответсвенные пункты Event Veiwer, Event Veiwer(Vindows Vista) и AD Users and Computers

Захожу от имени пользователя на данный сервер.
gpupdate /force
Политики обновляются, но результата нет.
И при попытке запустить что-то из вышеперечисленного, выдается окно с просьбой ввести пароль администратора. User Account Control.

Насколько я понял нет доступа к C:\windows\system32\mmc.exe
Но как его включить не сосвем понятно. Права доступа на него для Domain Users стоят.

rsop.msc так же не запускается от имени данного пользователя.

Что еще нужно сделать, чтоб необходимые оснаски запускались?

vot_takoyили через те же политики разрешить юзеру доступ к C:\windows\system32\mmc.exe...
Можно поподробнее, где это выставляется. Я перерыл весь Group Policy Management Editor и не нашел там упоминания про запуск именно mmc.exe.
Проблема зарыта где-то в UAC. Сейчас посмотрел на Windows 2003, mmc.exe под данной учетной записью запускается.

Это немного не то. На 2003 сервере все работает как нужно. На 2008 отрабатывает UAC и не дает доступ к тому же журналу. На данный момент пробелма вылечилась только полным отключением UAC, но это не есть хорошо.