[El Scorpio]

Цитата pavsem7:

1)Когда создается GPO, то в поле Security Filtering уже подставилось Authenticated Users. Это значит, что хотя я никаких пользователей не вносил в папку GPO в AD, все что я исправлю в этом GPO сразу подействует на всех Authenticated Users в домене? »

Нет.
После создания GPO вы должны связать её с каким-либо подразделенем домена (например "бухгалтерия").
И соответственно эта политика применится к пользователям и компьютерам, расположенным в этом подразделении.
Причём если вы используете группу безопасности "прошедшие проверку", политика применится ко всем участникам подразделения. Если же вы создадите и укажете другую группу безопасности, политика применится только к тем участникам подразделения, которые входят в эту группу безопасности.

Разумеется, вы можете связать политику с корнем домена, тогда она применится ко всем участникам домена, соответствующим группам безопасности.

[pavsem7]

Цитата El Scorpio:

После создания GPO вы должны связать её с каким-либо подразделенем домена (например "бухгалтерия"). »

Я создал это GPO, предварителеьно создав OU, чтоб потом в это OU копировать компьютеры и пользователей. GPO создалось в дереве gpmc внутри OU. Если я скопирую в OU компьютер или группу пользователей "Бухгалтерия", то этого достаточно, наверно, будет чтобы сразу GPO на них стало действовать после gpupdate /force на сервере?

[Trouble_Maker]

Если Ваша политика прилинкована (связана) с этим OU - то да, она будет действовать на всех пользователей и ПК которые вы переместите в это OU. Группы тут не при чем, политика не может действовать на группы, однако, она может служить фильтром действия. Например: имеем OU "Бухгалтерия" в нем содержится 4 ПК с именами BUH1,BUH2,BUH3 Вам нужно чтобы политика действовала не на все ПК а лишь на BUH1 и BUH3, вы создаете группу куда добавляете эти 2 ПК, а вот уже в GP убираете группу "Authenicated Users" и ставите группу с этими 2мя ПК, тогда политика будет применяться не на все ПК в этом OU,а только на 2 ПК!

[El Scorpio]

Цитата pavsem7:

Если я скопирую в OU компьютер или группу пользователей "Бухгалтерия", то этого достаточно, наверно, будет чтобы сразу GPO на них стало действовать после gpupdate /force на сервере? »

Поправка - вы должны не "скопировать", а переместить компьютер и/или пользователя в данную OU.
При этом нужно помещать в OU именно объекты компьютеров и пользователей.
Если же вы просто поместите в OU группу безопасности, в состав которой входит компьютер или пользователь, в то время как сам компьютер или пользователь будет находиться вне зоны действия групповой политики, то политика на него не применится.

[pavsem7]

Цитата El Scorpio:

вы должны не "скопировать", а переместить компьютер и/или пользователя в данную OU. »

Тогда на третий вопрос, по-видимому, ответ - нет? Только вложенные политики допустимы?
Кто знает ответ на второй вопрос о перестановке-пересиливания политик?

[Iska]

Цитата pavsem7:

Тогда на третий вопрос, по-видимому, ответ - нет? »

Угу. Ответ — «нет».

Цитата pavsem7:

Только вложенные политики допустимы? »

К подразделению, домену, сайту можно привязать несколько политик.

[El Scorpio]

Цитата pavsem7:

3)Можно ли поместить юзера или компьютер в два-три независимых(невложенных) OU одновременно, если надо несколько политик применить? Функция копирования пользователя в AD только копирует пользователя в нового пользователя, а в OU не копирует. »

OU - это подразделение организации. "Бухгалтерия", "Отдел кадров", "Транспортный цех" и так далее.
Как вы себе представляете специалиста, который работает сразу в нескольких отделах? Или компьютер, установленный в нескольких помещениях?

Если всё же требуется применять политики произвольно к отдельным участникам разных подразделений, то нужно применить групповую политику ко всему домену в целом. При этом создаёте группу безопасности, добавляете в неё нужные компьютеры/пользователей и в параметрах политики указываете ограничения на применение - только к указанной группе безопасности.

Цитата pavsem7:

2)В OU на вкладке Group Policy Inheritance перечислены GPO, причем в первой колонке Precedence пронумерованы 1,2,3 На третьем месте Default Domain Policy. а на втором, то GPO, что во вторую очередь создано для OU. Есть переключатель, который может инвертировать порядок. Будет ли эта инверсия действительно действовать в смысле пересиливания одной политики над другой, »

Проверьте.
Создайте пустое OU (без каких-либо участников) и примените к нему несколько разных политик, параметры которых будут "перекрывать" друг друга.
Затем сделайте для данного OU моделирование применения политик, и посмотрите, что будет показывать средство проверки политик. Стандартные средства Windows 2008 позволяют делать это без необходимости реального применения к существующим компьютерам или пользователям.