Собственно начну с малого, rtfm в процессе чтения, собственно выделили новый сервер с 2008r2 и пришел момент внедрения домена в организации, и с этим возникли вопросы:

1. Организация 55 человек, домен планировал одноуровневый в организации порядка 5 отделов в которых политика безопасности немного разная и тут возникает вопрос как организовать в домене это с помощью OU или с помощью групп? Тоесть сделать каждый отдел как организационную единицу и для каждой OU сделать свои политики?
2. У каждого пользователя в организации цепляется порядка 4-5 общих сетевых дисков, НО при этом + 1 диск цепляется чисто свой под фамилией, как это прописать в GPO? обязательно писать скрипт? или как-то можно прикрутить это все без bat и vbs файлов ?
3. И тут возник еще один вопрос до 2008 стояло 3 сервера с 2003 теперь так как контролер домена стал сервер с 2008, и + 2 сервера с 2003 планирую ввести как дополнительные контроллеры домена, в случае упадка 2008 сможет ли 2003 нормально пахать? (просто я на виртуалке сделал похожую ситуацию поставил 2008 + 2003 + XP и сделав домен все ввел в домен, все учетки среплицировались на 2003, потом выключив все я запустил сначала 2003 и машину с ХР и как не странно все заработало и сервак авторизовался в домене и так же машина с ХР авторизовалась при этом 2008 был выключен, сразу оговорюсь никаких ролей я не захватывал и вообще ничего не делал).

Собственно пока все в процессе буду дописывать возникающие вопросы. Спасибо!

Тоесть сделать каждый отдел как организационную единицу и для каждой OU сделать свои политики? »
да

НО при этом + 1 диск цепляется чисто свой под фамилией, как это прописать в GPO? обязательно писать скрипт? »
GPO предпочтения - мапирование дисков. Указать переменную %username%

в случае упадка 2008 сможет ли 2003 нормально пахать? »
как не странно все заработало »
тогда странный вопрос, если всё заработало.

в случае упадка 2008 сможет ли 2003 нормально пахать? »
Если этот контроллер обновлял схему до 2008, то будет работать.
оговорюсь никаких ролей я не захватывал и вообще ничего не делал »
Ну вот это плохо. Да, если не передать роли, сначала все будет работать, но если что то пойдет не так, то потом часами сидеть в ntdsutil, перекидывать роли вжесткую, чистить домен и т.д. Зачем?
Проще обновить схему на 2003 контроллере, сделать 2008-ой контроллером + глобальным каталогом + DNS сервером. Роли попереносить куда требуется. Тогда и проблем не будет.
А по поводу безопасности верно мыслишь, создаешь как отдельные OU, так и группы пользователей. OU Для политики, группы для гибкого управления пользователями.

Для сетевых дисков можно сделать 1 батник, или же через GPO. Для подключения личной папки в профиле пользователя - вкладка Профиль - Домашняя папка - подключить К... - пишешь \\server\share\%username%. На сервере есть папка, совпадающая с логином пользователя. В это случае иванову подключится \\server\share\ivanov, петрову - petrov.

Тыкните носом если не трудно где сделать в GPO для OU подключение нескольких дисков для пользователя? как подключить один диск нашел в профиле пользователя, а вот массово на всю OU как? в прикрепленном файлике отметьте если не трудно.

Конфигурация пользователя - Настройка - Конфигурация Windows - Сопоставления дисков.

Предварительно, диск можно создать в Active Directory:
http://www.exonix.ru/foto/disk3.png
настройка самой политики. У меня она применяется к OU Пользователи и только тем, кто в группе Disk P
http://www.exonix.ru/foto/disk4.png

А можно еще Group Policy Preferences воспользоваться, там можно гибкие условия задавать по мапированию дисков пользователям.

И все же попробовав много раз установив на клиентской машине с ХР обновление KB943729 (собственно CSE) ничего у меня так и не выходит диск так и не мапируется.

ничего у меня так и не выходит диск так и не мапируется. »
что в логах о политике в ХР ?

Короче говоря не знаю что случилось либо все обновления упали на XP но диски нормально стали сопоставляться поэтому пока проблема ушла

и вопрос вдогонку где скачать все обновление одним пакетом которые накатываются поверх sp3 на xp только без Windows Genuine Advantage

понял в чем оказалась проблема, сервак позывал время на час меньше чем клиентская машина в итоге GPO не применялись, скажите как это отключить?

alexdomovoi, я думаю что у вас не установлены обновления для смены часовых поясов.

на клиентских с XP есть обновы на сервак не падают так как 30 дней прошло и не активировал так как нет ключа, поэтому и не падают на него обновления

Подскажите, на серваке два интерфейса сетевых оба смотрят в одну сеть, через один интерфейс работает HYPER-V второй оставил чисто для нужд DC и разных баз, так вот при запуске dcpromo и установки AD через какой интерфейс будут работать пользователи с физическим сервером?

и не активировал так как нет ключа, поэтому и не падают на него обновления »
Ерунда, обновления от активации никак не зависят, тем более этот фикс доступен в открытой закачке.

C проблемой обновления разобрался

Ерунда, обновления от активации никак не зависят »
ещё как зависят. без активации не будут авто-устанавливаться "дополнительные" обновления. А критические будут.

а по этому вопросу подскажите "на серваке два интерфейса сетевых оба смотрят в одну сеть, через один интерфейс работает HYPER-V второй оставил чисто для нужд DC и разных баз, так вот при запуске dcpromo и установки AD через какой интерфейс будут работать пользователи с физическим сервером?
"

без активации не будут авто-устанавливаться "дополнительные" »
Вот именно...
Для среднего потребителя там почти нет ничего ценного, а все нужное прекрасно ставится и с левыми ключами и кряками, включая и патч для временных зон.

Собственно по разделению сетевых карт разобрался в HYPER-V можно полностью забрать 1 карту сетевую, а у клиентов просто надо прописать dns ip другой сетевой карты