Здравствуйте!
Подскажите, что я мог настроить не так.
Контроллер домена на Вин 2003, GPO. Клиенты на Вин 2000 и ХР. В GPO создал политику с нуля. Поставил ее в корень домена - назвал Общая. В Default Domain Controllers Policy для контроллера домена поставил Enforsed (Не перекрывать). Для других OU так же создал GPO, в них снято Enforsed.
Идея: все политики выполняются после Общей и принимают установленные в ней настройки - чтобы 100 раз не дублировать одни и те же настройки во всех GPO. Доменный пользователь со всеми админисраторскими правами (администратор домена, администратор схемы и т.д.) на машине с Вин ХР, пытаюсь установить любую программу - ругается "Чтобы установить данную программу, Вы должны выполнить вход в систему как Администратор". Где "болт"? Охота разобраться.

Спасибо

Доменный пользователь со всеми админисраторскими правами (администратор домена, администратор схемы и т.д.) »
..Вы должны выполнить вход в систему как Администратор »
Как локальный администратор. А Вы заходить пытаетесь из под пользовательской доменной учетки с правами админскими...
Я так понимаю?

А Вы заходить пытаетесь из под пользовательской доменной учетки с правами админскими...
Я так понимаю? »

Да.
До описанных процедур, все устанавливалось под этим же доменным пользователем с правами администратор домена. Сейчас что-то это перекрывает.

Локальный администратор, т.е локальная учетка с правами администратора - может все устанавливать все настраивать.

Сейчас что-то это перекрывает. »
Так права админа у пользователей есть, или их нет?

Может быть попробовать через Restricted Groups назначить права юзерам? (как вариант..)

Так права админа у пользователей есть, или их нет? »

Доменный админ-есть, локальный админ - нет. Это у одной доменной учетки.

Интересно разобраться. Данный трабл появился, когда я в корень домена добавил одну общую GPO. В ней пробыты только настройки для Firefox, не запоминать имя последнего пользователя, сообщение для пользователей при входе в в систему и права админа на одну ветку реестра. Все остальное - не назначено.

Попробуйте посмотреть через Group Policy Management Console. Может Там будет более ясная картина видна..

YDen, просмотрите внимательно результат выполнения команды rsop.msc. Увидите результат применения результирующей политики.
А, простите, зачем отключать дефолтовую политику и вместо нее делать опять же общую на всех? Не проще ли навесить отдельные политики на нужные OU, а в дефолтовой настроить что надо?
Доменный пользователь со всеми админисраторскими правами (администратор домена, администратор схемы и т.д.) на машине с Вин ХР, пытаюсь установить любую программу - ругается "Чтобы установить данную программу, Вы должны выполнить вход в систему как Администратор" »
Болт наверняка в том, что на машине в группе локальных пользователей нет группы Domain Admins. Видно, после отключения дефолтовой политики, эти настройки изменились.

Не проще ли навесить отдельные политики на нужные OU »
Это как раз сделано.

зачем отключать дефолтовую политику и вместо нее делать опять же общую на всех »

Боязнь сделать изменения, могущие "положить" сеть и сервер. А так можно легко на крайний случай удалить созданную.

а в дефолтовой настроить что надо »

Т.е как включить дефолтную?

Спасибо