Появилась необходимость изолировать доменного пользователя в рамках своей машины, при этом оставить доменную авторизацию, текущий профиль. Доступы в доменную сеть прикрыть. Дело в том что даже под стандартной domain users слишком много прав. И у пользователя очень много точечных доступов, которые лень шерстить.
Правилами стандартного WIndows Firewall, доставляемыми на рабочую станцию через политику GPO - закрыть доступ ко всей инфраструктуре, кроме минимально необходимой для авторизации в AD (то есть по портам AD к ближайшему контроллеру домена и к DNS).
