Помогите разобраться с пониманием прав доступа. Есть DC под 2003. В AD создал OU (all_user) в которую поместил несколько групп пользователей. На эту OU создана GPO. Если в правах доступа этой GPO я уберу User Authentication и поставлю группы безопасности, то GPO применится только к тем пользователям которые входят в эти группы, при условии что сами группы включены в OU (all_user)?

И ещё - что определяют права доступа на саму OU ?

http://forum.ru-board.com/topic.cgi?forum=8&topic=8921
GPO (Group Policy Object) - это, в Вашем случае, OU. Изучение домена надо начинать с книг и статей, коих в Интернете предостаточно. Или Вы по любому вопросу, даже не умея его сформулировать (User Authentication - из этой серии), будете в форуме искать ответы?

Если в правах доступа этой GPO я уберу User Authentication и поставлю группы безопасности, то GPO применится только к тем пользователям которые входят в эти группы, при условии что сами группы включены в OU (all_user)? »
совершенно верно.
И ещё - что определяют права доступа на саму OU ? »
что вы имеете ввиду под правами доступа на OU ?

Помогите разобраться с пониманием прав доступа. Есть DC под 2003. В AD создал OU (all_user) в которую поместил несколько групп пользователей. На эту OU создана GPO. Если в правах доступа этой GPO я уберу User Authentication и поставлю группы безопасности, то GPO применится только к тем пользователям которые входят в эти группы, при условии что сами группы включены в OU (all_user)? »
Нет, в эту OU нужно поместить самих пользователей - так как ГП не действует на группы, с помощью групп можно только фильтровать применение ГП, что вы и пытаетесь сделать.

ГП не действует на группы, с помощью групп можно только фильтровать применение ГП, что вы и пытаетесь сделать. »
и попытка эта будет успешна.
ГП действует на OU, но применяется только к этим группам и их членам, что собственно и требуется.
На группы в этой OU, не указанных в фильтре, ГП - не применится.

но применяется только к этим группам »
Еще раз повторюсь политика не применяется к группам - OU должна содержать в себе пользователей, если пользователей в OU не будет - то попытка будет безуспешной. Группы могут быть где угодно, с помощью них примение политики фильтруется.

если пользователей в OU не будет - то попытка будет безуспешной »
тогда уточнение: пользователи могут быть во вложенных OU.

пользователи могут быть во вложенных OU. »
Где угодно внутри иерархии объекта, к которому применяется политика. Только главное чтобы на ниже лежащих OU не была применена "блокировка наследования" http://technet.microsoft.com/ru-ru/library/cc757050(WS.10).aspx

Во первых всем спасибо. Я что-то может и неправильно сформулировал (типа Authenticated users) но ответы по правам доступа на GP помогли.

Во вторых что вы имеете ввиду под правами доступа на OU ? » Имею ввиду - OU [например мой all_users] => all_users properties => Security С точки зрения распространения (применения) политики права доступа непосредственно на OU имеют значение?

Security »
а вы Advanсed нажмите. посмотрите какие там права можно раздать.

а вы Advanсed нажмите. посмотрите какие там права можно раздать. » Посмотрел. Надеюсь понял правильно.

Есть ещё вопрос (из-за чего собственно и спрашивал про права) при попытке просмотреть rsop (через контекстное меню на OU => Task =>) в контекстном меню отображается только вкладка Resultant Set of Policy (Planning), а Resultant Set of Policy (Logging) отсутствует. Можете сказать в чём дело? И такая картина на любом OU. (DC под 2003 SP2 R2, захожу администратором, в правах доступа всё по умолчанию, т.е. Resultant Set of Policy разрешено.)

а Resultant Set of Policy (Logging) отсутствует. »
ну наверное потому, что данный рсоп применим только к таким объектам как: пользователи, компьютеры.

рсоп применим только к таким объектам как: пользователи, компьютеры » Верно, так и оказалось. Респект.

В результирующей политике настройки (большинство но не все), относящиеся к политикам Computer Configuration, отмечены красным крестом, т.е. не применяются. Среди них Default Domain Policy. Настройки политик типа Block Policy inheritance нигде не устанавливал (хотя параметры настройки уровня домена, определяющие политику паролей и политику учетных записей, и не могут быть заблокированы). В чём может быть проблема? В системных логах никаких ошибок.

Можно ли имитировать (Planning) рсоп для доменных станций под 2000 ? Может быть ошибка на картинке с политиками именно из-за этого?

Можно ли имитировать (Planning) рсоп для доменных станций под 2000 ? »
Нет. ХР и выше.

А можно ли что-то доустановить на 2000, что бы рсоп на DC отработал в отношении неё?

Использование gpmc.msi решает проблему с 2000 ?

minusodin,
Нет, конечно. Грубо говоря, это тот же RSOP, только в GUI (более наглядном виде).

Т.е. пока рабочие станции под 2000 о рсоп забыть?

Да.

Мда.... жаль.
1. Тогда как можно (или какие инструменты существуют) выявлять ошибки с применением (точнее неприменением) доменных политик на 2000 ?
2. Для общего развития. А какие условия необходимы для выполнения рсоп? Имею ввиду не столько ОС, сколько порты, протоколы, сервисы и т.д.