Все наши пользователи имеют логин из лат. литер, но язык по умолчанию - русский.
Пытаюсь изменить ситуацию запуском Startup (Computer Configuration) скрипта через групповые политики. Скрипт должен изменить ветку реестра HKEY_USERS\.DEFAULT\Keyboard Layout\Preload.
Но никаких изменений не происходит, хотя скрипт нормально меняет ключи в других кустах реестра. На ветку реестра ...Keyboard Layout\Preload назначил права на запись для Domain Computers, Domain Users (естественно не убирал права у SYSTEM).
Что я делаю неправильно? Или у Active Directory нелюбовь к любым кустам кроме HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE?

Скрипт в компьютерную часть политики помещаете?

Startup (Computer Configuration) »

т.е. вы вводите что то вроде
Windows Registry Editor Version 5.00

[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"1"="00000409"
"2"="00000419"

---
regedit /S "1.reg"

и ничего не получается?

Я предпочитаю шаблон который выставляет только одно значение, но при некоторой модификации туда можно добавить еще и второй язык.
CLASS MACHINE
CATEGORY "Custom Settings"
CATEGORY "Keyboard Layout to EN"
POLICY "Set EN Keyboard Layout"
KEYNAME "HKEY_USERS\.DEFAULT\Keyboard Layout\Preload"
VALUENAME 1
VALUEON 00000409
VALUEOFF ""
END POLICY ;"Set EN Keyboard Layout"
END CATEGORY ;"Keyboard Layout"
END CATEGORY ;"Custom Settings"

Windows Registry Editor Version 5.00

[HKEY_USERS\.DEFAULT\Keyboard Layout\Preload]
"1"="00000409"
"2"="00000419"

[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="2"
"Language Hotkey"="2"
"Layout Hotkey"="1"

И ничего не получается. Попробую еще Ваш вариант. А вообще есть идеи почему не получается?

На ветку HCU у пользователей нет права записи, так же как и у компьютера, отсюда и не возможность изменения при стартапе.
А каким образом вы назначали права на запись? Domain Users добавлять нет необходимости, в момент машин рана, пользователя еще нет, изменяйте права в ГП, ветка - Конфигурация компьютера \ Конфигурация Windows \ Параметры безопасности \ Реестр.
Проверьте фильтр безопасности для политики, там должно быть либо прошедшие проверку, либо компьютеры домена. Скрипт использует cmd? и использует regedit? доступ по сети к их местоположению для прошедших проверку или компьютеров домена имеется? Попробуйте использовать в командном сценарии не regedit, а reg add:
reg add "HKU\.DEFAULT\Keyboard Layout\Preload" /v 1 /d "00000409" /f
reg add "HKU\.DEFAULT\Keyboard Layout\Preload" /v 2 /d "00000419" /f
Только что проверил работоспособность на тестовом сервере, при правильном выставлении прав, все отрабатывает.
Но есть еще момент, десктопная ОС не ждет полного завершения инициализации сети во время загрузки компьютера и входа пользователя в систему. Групповая политика применяется в фоновом режиме, после того, как сеть становится доступной Не уверен насчет стартап скриптов, но возможны "помехи" еще и из за этого. Укажите ОС всегда ожидать полной инициализации сети.
Конфигурация компьютера \ Административные шаблоны \ Вход в систему /всегда ожидать..... - включена

ещё проще это сделать через GPP.

http://i32.fastpic.ru/thumb/2011/0907/ab/9527bdee20d553d4cdbe1b68e1b189ab.jpeg (http://fastpic.ru/view/32/2011/0907/9527bdee20d553d4cdbe1b68e1b189ab.jpg.html)
Ничего не получается. Все то что пытаюсь изменить с помощью ветки ГП - Конфигурация компьютера - изменения не происходят, сценарии не выполняются на компьютерах, а вот для Конфигурация пользователя - проблем нет!

Большое спасибо, AkP. Вы очень помогли.
К сожалению (мы очень-очень сорри :(( ), видимость что скрипт частично работает, создавал забытый в другой политике в ходе экспериментов скрипт, и сам вопрос оказался некорректным. Еще раз, сорри.

Наша частная проблема разрешилась перенесением правила запуска скрипта в Default Domain Policy. Совет АkP проверить фильтр безопасности оказался кстати.

У меня еще осталось непонимание причины различной области действия конфигураций компьютера и пользователя одной и той же политики, но это уже совершенно другая история. Учу матчасть.