[nokogerra]

через рестриктед групс - грубый метод: если создавать политику на local_admins (моя доменная группа), она будет входить в BUILTIN\Администраторы (на целевых машинах) - работало лишь 1й раз xD, после того как поменял членов группы local_admins (убрал васю, добавил петю) работать перестало, обновлял политики, изменял членство в группе через gui restricted groups, создавал даже новую политику - эффекта 0. Если делать наоборот, добавлять в local_admins группу BUILTIN\Администраторы - работает, но затирает всех уже имевшихся локальных админов на этих машинах - так не пойдет. Пользовал скрипт
On Error Resume Next



Set ws = WScript.CreateObject ( "WScript.Shell" )

compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )



Set adGrp = GetObject ( "WinNT://" & compname & "/Администраторы,group" )

Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" )



adGrp.Add ( "WinNT://ИМЯ ДОМЕНА/domain admins,group" )

adGrp.Add ( "WinNT://ИМЯ ДОМЕНА/Имя группы,group" )
отрабатывает только запуске "от имени администратора", или отключенном uac, отключать его не хочу, runas для повышенных прав не вариант - все равно нужно вводить пароль, стороннее по для запуска с повышенными правами тоже не вариант.

В общем же через group policy preferences работает, почему во только не видит пользователей добавленной группы, может есть какой-то нюанс с иерархичностью в группах win7?