народ помогите с этим делом, мне просто интересно есть ли необходимость создавать свои группы пользователей в домене, или можно обойтись встроенными. И если есть, как сделать в группе права, ограничивающе пользователей в чем нить.
пользователей я создал, и закинул их в подпапки, вот на эти подпапки можно делать групповые политики, а для созданных групп низя... или я че то не догнал?

Создавать надо OU, к ним цеплять политики. На встроенные OU ГП не действует.

в моем случае подпапка означала - OU (сорри за мою терминологию), это я уже понял....
но если я хочу создать группу пользователей типа Администраторы, тока чтоб они че то не могли делать, ну к примеру не могли устанавливать программы, как вот это огранчение определить конкретной группе?
п.с. если нельзя этого сделать, тогда в чем смысл создания невстроенных в AD групп?

abbat_gro,
ууу батенька смысл в нестроенных групп в десяки тысяч раз больше чем строенные.
вот как раз в вашем примере и нужно создать группу типа администраторы но не совсем так как нужно запрет на установку програм.

Изучи Microsoft Server 2003 (http://trainers2000.narod.ru/win2003.htm)

Спасибо дядьки! буду читать....
думал кто нить вкратце расскажет, чтоб иметь представление ))))

видимо догнал, после создания групп пользователей, я могу через локальную политику безопасности определить возможности той или иной группы?

не через локальную политику безопасности, а через групповую политику домена(Default Domain Policy)

Тогда уж уточним, что Default Domain Policy трогать не рекомендуется (за исключением политики паролей). Для общих доменных изменений создать новую политику и прилинковать к домену, а для каждого OU, при необходимости, создавать свои политики.
Вообще, проще воспользоваться поиском (http://www.google.ru/search?hl=ru&q=%D0%B3%D1%80%D1%83%D0%BF%D0%BF%D0%BE%D0%B2%D1%8B%D0%B5+%D0%BF%D0%BE%D0%BB%D0%B8%D1%82%D0%B8%D0%BA% D0%B8+%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%B0&lr=&aq=2&oq=%D0%B3%D1%80%D1%83%D0%BF%D0%BF%D0%BE%D0%B2%D1%8B%D0%B5+) - найдете массу полезного материала.