есть 10 компьютеров пользователей введенных в домен, сервер на 2003 винде на котором поднят AD и терминал сервер.
Что было сделано: в AD создал новую OU в которую поместил эти 10 пользователей, привязал к ней новую груповую политику в которой ограничил пользователей в правах.
Что надо сделать: нужно чтоб права которые били назначены на новую OU распостранялись только на терминальных пользователей а не локаль на комп, на компах пользователей нужны права админа.
если кто знает как это сделать помогите

на новую OU распостранялись только на терминальных пользователей »
1) разделить AD и Terminal Server
2) создать группу для терминального входа на данный сервер.
3) в фильтрах политики удалить - "все пользователи" и добавить созданную группу.

Valik87,
Вы сможете создавать только политики компьютера (терминального сервера)
2) создать группу для терминального входа на данный сервер.
3) в фильтрах политики удалить - "все пользователи" и добавить созданную группу. »
Будет применяться к пользователям вне зависимости, логинятся они в терминал или на локальный компьютер.
Да, если терминальный сервер будет вне домена (Ваш п. 1) -
Применение локальных политик ко всем пользователям за исключением администраторов в Windows Server 2003 при использовании рабочих групп (http://support.microsoft.com/kb/325351/ru)

Да, если терминальный сервер будет вне домена (Ваш п. 1) »
я имел ввиду на разные сервера разнести.
Будет применяться к пользователям вне зависимости, логинятся они в терминал или на локальный компьютер. »
2) создать группу для терминального входа на данный сервер. »
Данная группа предназначена только для работы на терминале.
Т.е. пользователям этой группы нужно запретить интерактивный вход в систему.

Пример.
Есть OU - "managers". Ней есть 20 пользователей и 2 группы (по 10 пользователей в каждой).
1 группа - "менеджеры офиса".
2 группа - "менеджеры регионов".

Создаём GPO, связываем с OU, и в фильтрах устанавливаем группу "менеджеры регионов".
Если пользователи группы "менеджеры офиса" зайдут на терминал (если им разрешено), то GPO к ним не применится, т.к. в GPO в фильтрах нет этих пользователей.

monkkey, я понял вопрос у автора как привязать GPO к группе безопасности.

я понял вопрос у автора как привязать GPO к группе безопасности. »

ну немножко не так

допустим есть пользователь "USER" он логинется на своем компьютере под этим именем у него полный доступ к своей машине, далее он подключается терминалом к серверу под тем же именем (USER) и тут да бы обезопасить сервер от любобытного пользователя надо ограничить его в правах, допустим запретить запуск CMD, убрать диспетчер и т.д.
есть ли возможность это сделать это средствами Win2003?

есть ли возможность это сделать это средствами Win2003? »
Применение локальных политик ко всем пользователям за исключением администраторов в Windows Server 2003 при использовании рабочих групп »


p.s.: на форуме такие темы уже были.

при использовании рабочих групп »
а в домене этого сделать нельзя?

p.s.: на форуме такие темы уже были. »
я искал через поиск ничего подобного не мог найти, если Вы такие темы встречали можете мне кинуть ссылку

а в домене этого сделать нельзя? »
можно. Дело в том, если у вас доменная политика перекроет локальную - смысла в локальных нет.
мне кинуть ссылку »
один из примеров (http://forum.oszone.net/showthread.php?t=140754&page=all) и так далее.
вообщем всё сводится к настойке локальных политик.

доменная политика перекроет локальную - смысла в локальных нет. »

а можно ли настроить так чтоб политики домена не применялись для пользователя на его комп. ?????

а можно ли настроить так чтоб политики домена не применялись для пользователя на его комп »
да, также через фильтры.

через фильтры »

это WMI фильтры?

если да то как ими вобще пользоваться, я просто туда ниразу не залазил, боюсь чего нибудь набокопорить

Valik87, нет. это в нижней части политики безопасности. к сожалению скрин показать не могу.
3) в фильтрах политики удалить - "все пользователи" и добавить нужную группу. »

http://s51.radikal.ru/i131/0906/20/98319fa47766.jpg

EXO спасиб тебе, сейчас буду пробовать

все, заработало

сделал так как говорилось выше, а именно:

установил GPMC.msi, дальше выбрал нужное подразделение убрал оттуда "Прошедшие проверку"
добавил требуемую группу и все

большое СПАСИБА за помощь

все делал как говорилось в этой теме, а именно
Создал новую OU куда поместил пользователей (они входят в группу "пользователи домена"и "пользователи удаленного рабочего стола"), для созданной GPO в фильтрах безопасности убрал "прошедшие проверку" и добавил "пользователи удаленного рабочего стола", по идее должно работать так: пользователь логинется у себя на компьютере применяются политики "Default domain policy" но когда он заходит на терминал сервер применяются политики созданые мной, но на самом деле применяются не только на терминале но и локально на компьютере.
Помогите разобраться с этим вопросом, может я что-то неправельно делаю?
Вы добавили группу "пользователи удалённого рабочего стола". Но эта группа built-in - встроенная общая группа для всех.
Вам советую создать отдельную группу "пользователи терминала сервера такого-то" и только ей дать доступ через терминал. Т.е. на сервере в локальную группу "пользователи удалённого рабочего стола" добавить эту группу. И уже через эту группу использовать для раздачи прав GPO.

Прочитайте что такое вложение групп.

А может ли как то влиять какая это группа? я изначально выбирал "глобальная" потом поставил "локальную в домене" вроде работает, рестартовал пару раз, настройки не сбиваются

Valik87,
"Золотые правила" применения групп (http://www.osp.ru/win2000/2007/02/4236796/)

"Золотые правила" применения групп »

Спасиб, полезная информация, узнал много нового