До начала конфигурации В2003 в одной организации (около 30 компов), перечитал кучу информации, хотел сделать все правильно и красиво. Но споткнулся в самом начале.

Ситуация. AD+PDC+DNS на одном сервере в локальной сети с одним доменом.
-------------------------------------------------------------------------------------------------------------
создал подразделения (ou "первого типа"), чтобы разместить туда пользователей и их расшареные ресурсы:

..бухгалтерия
..администрация
..техники
..
..

и заполнил их свежесозданными пользователями.
к этим подразделениям не применяются никакие политики, кроме основной политики для всего домена (в которой тоже ничего нет; для пробы изменил пару вещей, чтобы можно было визуально увидеть - сработало или нет)


потом создал другие подразделения (ou "вторго типа"), чтобы применять политики для подключения сетевых дисков и ярлыков на рабочий стол:

..пользователи такой-то сетевой программы
..пользователи другой сетевой программы
..
..

тут у каждого подразделения есть своя групповая политика по исполнению логон-скрипта

Проблема:
------------------------------------------------------------------------------------------------------

если в ou (вторго типа), разместить (или переместить) пользователя в чистом виде, то при логине это пользователя - политика применяется.
но мне это не подходит потому что пользователи в чистом виде находятся в ou первого вида (бухгалтерия, техники,...), а в ou второго вида я хотел создать группы, членами которых хочу сделать пользователей из (бухгалтерия, техники,...) . В этом случае политики к членам групп не применяются.

теперь наглядно попытаюсь объяснить:


domen.com
|____________Default Domain Policy
|___________________бухгалтерия
| |_________user 1,2,3
|___________________администрация
| |_________user 4,5,6
|___________________техники
| |_________user 7,8,9
|
|___________________пользователи "1С"
| |_____ "1С" group policy
| | |__________"1С" UserGroup
| | |__________user 1,4,7
|___________________ |____________ user 10

В этом случае политика Default Domain Policy - применяются для всех пользователей домена
А "1С" group policy только для user 10, А ПОЧЕМУ НЕ ПРИМЕНЯЕТСЯ ДЛЯ USER 1,4,7 ???????????


Спасибо за ответы.

Чуть-чуть съехали линии в схеме активной директории, но я думаю, понятно - в подразделении "пользователи 1С" есть группа "1C UserGroup" с пользователями 1,4,7 (которые из других подразделений), а также есть пользователь 10, созданый прямо в подразделении "пользователи 1С". Только для него применяются директивы "1С group policy". Почему не применяются для пользователей 1,4,7 ?????

Блин, ну вот нашел ответ на свой вопрос в одной книжечке:

...цитата....
Объект групповой политики может действовать ТОЛЬКО на объекты «КОМПЬЮТЕР» и «ПОЛЬЗОВАТЕЛЬ». Политика действует только на объекты, находящиеся в объекте каталога (сайт, домен, подразделение), с которым связан GPO и ниже по «дереву» (если не запрещено наследование).
...конец цитаты...

т.е. на группы не действует ;-((((

а как же быть если к юзеру одновременно должны примениться политики из разных подразделений, но при этом его запись должна оставаться в своем подразделении (куда он принадлежит физически, по департаменту фирмы)

Да групповая политика не применяется к группам. А самом правильным будет грамотно использовать распределение пользователей по организационным группам и политики разные прикручивать также иерархически.

Спасибо хохмодав. Прошла ночь и на утро я увидел твое, достаточно общесмысловое, письмо из которого мне помогла фраза политики разные прикручивать также иерархически и я сразу придумал как я сделаю. Конечно, не будет так красиво как мне хотелось бы, но все пользователи остануться в своих ou по департаментам, просто в этих ou добавятся новые ou (по назначению), в которые я и буду распихивать пользователей.