[exo]

Цитата Valik87:

на новую OU распостранялись только на терминальных пользователей »

1) разделить AD и Terminal Server
2) создать группу для терминального входа на данный сервер.
3) в фильтрах политики удалить - "все пользователи" и добавить созданную группу.

[monkkey]

Valik87,
Вы сможете создавать только политики компьютера (терминального сервера)

Цитата exo:

2) создать группу для терминального входа на данный сервер. 3) в фильтрах политики удалить - "все пользователи" и добавить созданную группу. »

Будет применяться к пользователям вне зависимости, логинятся они в терминал или на локальный компьютер.
Да, если терминальный сервер будет вне домена (Ваш п. 1) -
Применение локальных политик ко всем пользователям за исключением администраторов в Windows Server 2003 при использовании рабочих групп

[exo]

Цитата monkkey:

Да, если терминальный сервер будет вне домена (Ваш п. 1) »

я имел ввиду на разные сервера разнести.

Цитата monkkey:

Будет применяться к пользователям вне зависимости, логинятся они в терминал или на локальный компьютер. »

Цитата exo:

2) создать группу для терминального входа на данный сервер. »

Данная группа предназначена только для работы на терминале.
Т.е. пользователям этой группы нужно запретить интерактивный вход в систему.

Пример.
Есть OU - "managers". Ней есть 20 пользователей и 2 группы (по 10 пользователей в каждой).
1 группа - "менеджеры офиса".
2 группа - "менеджеры регионов".

Создаём GPO, связываем с OU, и в фильтрах устанавливаем группу "менеджеры регионов".
Если пользователи группы "менеджеры офиса" зайдут на терминал (если им разрешено), то GPO к ним не применится, т.к. в GPO в фильтрах нет этих пользователей.

monkkey, я понял вопрос у автора как привязать GPO к группе безопасности.

[Valik87]

Цитата exo:

я понял вопрос у автора как привязать GPO к группе безопасности. »

ну немножко не так

допустим есть пользователь "USER" он логинется на своем компьютере под этим именем у него полный доступ к своей машине, далее он подключается терминалом к серверу под тем же именем (USER) и тут да бы обезопасить сервер от любобытного пользователя надо ограничить его в правах, допустим запретить запуск CMD, убрать диспетчер и т.д.
есть ли возможность это сделать это средствами Win2003?

[exo]

Цитата Valik87:

есть ли возможность это сделать это средствами Win2003? »

Цитата monkkey:

Применение локальных политик ко всем пользователям за исключением администраторов в Windows Server 2003 при использовании рабочих групп »

p.s.: на форуме такие темы уже были.

[Valik87]

Цитата exo:

при использовании рабочих групп »

а в домене этого сделать нельзя?

Цитата exo:

p.s.: на форуме такие темы уже были. »

я искал через поиск ничего подобного не мог найти, если Вы такие темы встречали можете мне кинуть ссылку

[exo]

Цитата Valik87:

а в домене этого сделать нельзя? »

можно. Дело в том, если у вас доменная политика перекроет локальную - смысла в локальных нет.

Цитата Valik87:

мне кинуть ссылку »

один из примеров и так далее.
вообщем всё сводится к настойке локальных политик.

[Valik87]

Цитата exo:

доменная политика перекроет локальную - смысла в локальных нет. »

а можно ли настроить так чтоб политики домена не применялись для пользователя на его комп. ?????

[exo]

Цитата Valik87:

а можно ли настроить так чтоб политики домена не применялись для пользователя на его комп »

да, также через фильтры.