Определение прав групп пользователей GPO
 

Здравствуйте. Я тут у вас впервые, поэтом прошу не судить строго.
У меня такой вопрос: на контроллере домена win2k3 в АД есть кучи групп пользователей с названиями типа "Deny ICQ" , "Disallow internet" и пр. Как и где можно посмотреть правила и права, которые распространяются именно на эту группу? Что пользователям, состоящим в ней, можно, а что нельзя и через что это сделано и где.
И второй вопрос: в GPO есть две политики: Default Domain Policy и inaccessible GPO, и вот ко второй написано Access Denied и я не могу с ней ничего сделать, кроме как отрубить вообще, хотя права стоят админа домена, как её открыть?

ncmps,
Посмотреть можно на Вашем шлюзе. В файле squid.conf. У Вас SQUID настроен с авторизацией из AD.данная политика к чему применяется? (посмотрите перевод слова "inaccessible", возможно от этого и стоит плясать)

У меня Kerio winroute, и да, стоит интеграция с АД, но это только то, что касается инэта - там всё понятно. А меня интересуют именно настройки в ГП, которые распространяются на определённые группы. Названия групп и привёл для примера, например группа "No rights for games" и т.д. )

Перевод знаю, вот мне и интересно почему она недоступна для админа домена и на что она распространяется)

А ещё в каждом подразделении в АД есть своя политика... не открывать же каждую и разворачивать смотреть все настройки где и что изменено ( Есть ли возможность взять группу и сразу посмотреть какие правила на неё применяются и из какой конкретно политики распространяется? или пользователя...

ГП распространяются на OU, а не на группы. Это несколько разные вещи. Группы, обычно, используются:
- для разграничения доступа к ресурсам (например, к сетевым папкам)
- для назначения тех или иных прав (например, подключение к терминальному серверу)

mmc оснастка "результирующая политика"

ЗЫ еще посмотрите Microsoft Group Policy Management Console

Спасибо, оснастку уже ковыряю )

Правда тогда не понятно каким образом сделали "No rights for games" и как эта группа запрещает игры на компьютере )
А также почему всё-таки недоступна одна из политик?

Скачайте и установите Group Policy Management Console. Очень полезная утилитка.
ммм... тут нужен более высокий скилл в телепатии, чем у меня =)
Если с английским нормально, то:
http://technet.microsoft.com/en-us/l...(v=ws.10).aspx
да и сами файлы политик (и права на них) можно проверить

Скачал, установил, буду разбираться как пользоваться ) Ещё раз спасибо.

Нашёл папку по id политики, указал там себя с полными правами - политика всё равно недоступна :\

И снова здрасте. Снова возник вопрос по теме )
Установил Microsoft Group Policy Management Console и не могу теперь найти тут где поставить опцию Block Policy Inheritance, не подскажите где она?

http://technet.microsoft.com/en-us/l...(v=ws.10).aspx
но на инглише :) а вообще хорошо было бы вот это изучить http://technet.microsoft.com/en-us/l...(v=ws.10).aspx

Блин, всё обжмякал, а вот по самому ОУ правым жмяком не догадался ) Спасибо )