Групповые политике - объясните, пожалуйста
 

Здравствуйте.
У меня такой вопрос - замыкает и все, не могу разобраться.
Есть домен на базе Win2008R2. В него входят несколько десятков юзеров.
Есть рабочая станция пользователя. Я завожу (представим) два контейнера, один для админов, один для пользователей. Групповые политики назначаю разные и на машинном и на пользовательском уровне.
Пользователь входит в домен, применяются политики из пользовательского контейнера в таком порядке: машина, пользователь.
Вот тут и непонятно: от какого контейнера будет действовать машинная часть политики? Если я зайду пользователем, потом зайду админом - у меня настройки GPO (Компьютер) остануются от пользователя или уже от админа?

Я так понимаю, что админские компьютерные GPO грузятся при старте системы. А если на машину входят несколько пользователей и у них разные компьютерные GPO - в каком порядке будут они применяться (и будут ли вообще)?

Спасибо.

Политика будет действовать та, которая применена к контейнеру в котором находится объект компьютер. Если Вы настраиваете политики в разделе конфигурация компьютера, а применяете политики к контейнерам в которых расположены только пользователи, то раздел конфигурации компьютера применяться не будет.

Прошу прощения, опыта мало - пытаюсь понять.
А если нужно в зависимости от того, в каком контейнере находится пользователь, такую и политику применять к ПК - тогда как поступить? Или сначала делать одну политику для компьютеров, а в каждом контейнере - пользовательскую?

Опишите более подробно задачу которую Вы хотите решить. Какие политики должны применяться к компьютеру в зависимости от пользователя который логиниться на компьютер?

Хорошо, задача такая:
Существуют 35 обычных пользователей, и 10 админов. Для каждого из них я создал контейнеры в папке "Пользователи" в корне дерева. Имена контейнеров - Admins, Users. Объекты-компьютеры попадают в папку Computers при присоединении к домену.
Теперь хочу, чтобы GPO применялись разные, в зависимости от того, из какого контейнера юзер авторизовался. То есть, авторизовался из Admins - часть ограничений снята, а из Users - полные ограничения.
Что пытался сделать: создавал свои GPO, ограничительные в Users и полегче в Admins. Но стало непонятно как быть с секцией "Параметры компьютера" GPO: при загрузке система же не знает под каким пользователем я зайду, поэтому какой GPO она выберет для загрузки параметров компьютера - непонятно. И заставить систему создавать записи о компьютерах в соответствующих контейнерах я что-то не смог: это происходит автоматически и непонятно где меняется, летит по-умолчанию в Computers.
Это мой первый опыт организации домена, если не сложно - поделитесь, как лучше все это организовать.
Спасибо.

Что за ограничения Вы хотите применять к объектам компьютерам?

Так, ну скорее там и настройки и ограничения: отключение брандмауэра, настройки обновления, запуск удаленного администрирования, отключение всяких там Netmeeting, конфигурация DNS и еще что-то...
Вы мне лучше объясните, почему каждая GPO содержит обе части - и компьютерную и пользовательскую? Если все компьютеры идут в разделе computers, значит для того, чтобы компьютерная часть GPO выполнялась необходимо, чтобы политика обязательно применялась либо к контроллеру домена, либо к домену, так?
Можно как-то сделать так, чтобы при регистрации новых ПК в домене объекты-записи складывались не в дефолтный computers, а куда-то еще?
Спасибо.

Нет не обезательно. Для компьютеров так же можно создать свою структуру OU и переместить объекты компьютеры в нужные OU и применить к ним политики, каждую политику к своему OU.
Да можно, выполните на КД команду redircmp ou = mycomputers, DC = contoso, dc = com (где contoso.com - имя Вашего домена) при вводе новых компьютеров в домен учетные записи компьютеров будут создаваться в OU mycomputers,а не в OU computers.