1. Описание проблемы со слов пользователей: "При входе у всех появляется какое-то черное окошко и через некоторое время исчезает".

2. Удалось накопать:
2.1. Таск-менеджер показал имя батника. Запускается явно из секции "Users" глобальных политик.
дальше пошел полтергейст:
2.2. В \\PDC\SysVol\...\scripts вообще пусто.
2.3. Зашел на PDC, запустил "Group Policy Management", нашел всего 2 дефолтные политики - для домена и для контроллеров домена. В обоих \*\Windows Settings\Scripts\Logon абсолютно пусто!!!
Самое интересное начинается:
2.4. Возвращаюсь к дереву политик, на "default domain policy" в правом окне выбираю "settings" и в самом низу получаю:
System/Logon Policy Setting
Run these programs at user logon: Enabled
Items to run at logon
\\Fileserver\Soft\Scripts\Update.bat
Действительно, батник лежит, ничего плохого не делает, но откуда взялся - никто не знает ;)
2.5. Начал искать, что ссылается на батник - нашел ссылку на PDC в файле C:\NTDS\SYSVOL\domain\Policies\{...}\USER\Registry.pol

3. Вопросы:
3.1. Как удалось скрыть запись с запуском скрипта
3.2. Как поправить запись (а лучше и просто убить).

NiOl, 1. -2.5 »
откройте для себя Group Policy Result - показывает всё, без копания в самой политике. оно, знаете ли, наглядней.
1. Описание проблемы со слов пользователей: "При входе у всех появляется какое-то черное окошко и через некоторое время исчезает". »
причём тут ГП?
\\Fileserver\Soft\Scripts\Update.bat »
переименуйте в updates.bat, чёрное окно будет появляться?..
3.1. Как удалось скрыть запись с запуском скрипта »
например, как все нормальные люди которые больше 3-х лет используют GPP, это было сделано как однократный джоб на логон. или ярлык в автозагрузку или ещё как либо.
3.2. Как поправить запись (а лучше и просто убить).
переименовать файлик в шаре.
использовать GP Result для выяснения.

откройте для себя Group Policy Result - показывает всё, без копания в самой политике. оно, знаете ли, наглядней. »
Надеюсь Вы про Group Policy ResultS из оснастки "Group Policy Management"?!! Ссылку на батник обнаружил именно его отчетом. А вот что такое GPP - даже яндекс толком не знает.

причём тут ГП? »
Проинтуичил филейной частью моска :lol:

Скрипт действительно был прописан через GPM - уже выяснили кто это сделал (в принципе никакого криминала) но, местный админ (аффтар скрипта и отец проблемки) утверждает, что строка скрипта в настройках доменной политики пропала "сама" - когда прога у всех обновилась он хотел сам убрать скрипт из загрузки, но ссылки на скрипт в настройках уже не оказалось, а скрипт все также вылазит при каждой загрузке.

Таким образом мой вопрос
3.1. Как удалось скрыть запись с запуском скрипта
списывается на глюки
а вопрос
3.2. Как поправить запись (а лучше и просто убить). - остается насущным. Править ручками файл Registry.pol я не рискну, остается только путь через MMC или кто сможет подсказать по DSRm ?

ЗЫ: После физического изничтожения скрипта отчет в Group Policy Results уже не содержит ссылки на скрипт, но во вкладке "Settings" он все также присутствует, а это очень плохо.

На счет "Group Policy Result" кажется догнал - это про консольную утилиту для теста?
про нее как-то забыл, хотя проходили, практиковались...

Надеюсь Вы про Group Policy ResultS из оснастки "Group Policy Management"?!! Ссылку на батник обнаружил именно его отчетом. »
да, я именно про это.
просто не поняла - то вы руками там что-то ищите, то ещё что.
А вот что такое GPP - даже яндекс толком не знает. »
Group Policy Preferences.
так яндекс знает.
утверждает, что строка скрипта в настройках доменной политики пропала "сама" - когда прога у всех обновилась он хотел сам убрать скрипт из загрузки, но ссылки на скрипт в настройках уже не оказалось, а скрипт все также вылазит при каждой загрузке. »
прямо таки мистика.
я бы посоветовала убить эту политику и всё, но так как специалисты решили использовать DDP для своих экспериментов - то вопрос отпадает.
3.1. Как удалось скрыть запись с запуском скрипта
списывается на глюки »
за 10 лет ни разу не видела столь оригинально и исключительно узконаправленного глюка.
Править ручками файл Registry.pol я не рискну »
я тоже не советую.
или кто сможет подсказать по DSRm ? »
причём тут Directory Services Restore Mode?
ЗЫ: После физического изничтожения скрипта отчет в Group Policy Results уже не содержит ссылки на скрипт, но во вкладке "Settings" он все также присутствует, а это очень плохо. »

rerun (update) query делали?

прямо таки мистика.
я бы посоветовала убить эту политику и всё, »
1. И "да" и "нет" - этому домену уже доставалось, неколько лет назад на нем покрылся бэдами HDD единственного DC и я струдом перенес домен на новый комп. Глючков там хватает, а от предложения поднять новый домен и создать все заново (всего-то с полтинник пользователей) отказались.
2. Убить политику было бы самым простым решением, еслибы для скриптов была создана отдельная политика, как это должно быть. Однако правка была именно в дефолтной политике домена. Убивать ее, понятное дело, нельзя.

причём тут Directory Services Restore Mode? »
dsrm.exe /?
Но там я ничего подходящего не нашел.

Цитата NiOl:
Править ручками файл Registry.pol я не рискну »
я тоже не советую. »
Таки рискнул. Отложил текущую копию, положил рядом из бэкапа ближайший до времени создания злополучного скрипта еще одну копию этого файлика и вытер "строчку" с запуском. Ночью из дому перезагружу PDC и посмотрю, что из этого выйдет...

ЗЫ: Консольных утилит по правке политик ненашел.

на клиенте в командной строке
gpupdate /force
смотрим в логе ошибок, что политики обновились нормально, в противном случае следует начать с dcdiag на контроллере домена,
gpresult /Z
если ничего нету - доменные политики не причем, проверяем автозагрузку и msconfig - автозагрузка, для начала.
Вроде так..
P.S.
Про GPP (http://www.techdays.ru/videos/1066.html)

NiOl, AutoRuns (http://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx) вроде политики тоже учитывает

Спасибо всем откликнувшимся (хотя практика показала - иногда мы разговариваем на разных языках) - обязательно поробую все, но последние недели - жуткий завал - пока пытаться повторить проблему не рискну, буду довольствоваться достигнутым - в "Settings" в "GPM" задание более не значится, автозапуск скрипта и приложения более не замечено, проблема решилась крайне опасным и неправильным методом - правкой файла "Registry.pol" из \\PDC\Sysvol\... обычным текстовым редактором (притом без поддержки UTF).