[Telepuzik]

Цитата netvis:

Вот тут и непонятно: от какого контейнера будет действовать машинная часть политики? »

Политика будет действовать та, которая применена к контейнеру в котором находится объект компьютер. Если Вы настраиваете политики в разделе конфигурация компьютера, а применяете политики к контейнерам в которых расположены только пользователи, то раздел конфигурации компьютера применяться не будет.

[netvis]

Прошу прощения, опыта мало - пытаюсь понять.
А если нужно в зависимости от того, в каком контейнере находится пользователь, такую и политику применять к ПК - тогда как поступить? Или сначала делать одну политику для компьютеров, а в каждом контейнере - пользовательскую?

[Telepuzik]

Опишите более подробно задачу которую Вы хотите решить. Какие политики должны применяться к компьютеру в зависимости от пользователя который логиниться на компьютер?

[netvis]

Хорошо, задача такая:
Существуют 35 обычных пользователей, и 10 админов. Для каждого из них я создал контейнеры в папке "Пользователи" в корне дерева. Имена контейнеров - Admins, Users. Объекты-компьютеры попадают в папку Computers при присоединении к домену.
Теперь хочу, чтобы GPO применялись разные, в зависимости от того, из какого контейнера юзер авторизовался. То есть, авторизовался из Admins - часть ограничений снята, а из Users - полные ограничения.
Что пытался сделать: создавал свои GPO, ограничительные в Users и полегче в Admins. Но стало непонятно как быть с секцией "Параметры компьютера" GPO: при загрузке система же не знает под каким пользователем я зайду, поэтому какой GPO она выберет для загрузки параметров компьютера - непонятно. И заставить систему создавать записи о компьютерах в соответствующих контейнерах я что-то не смог: это происходит автоматически и непонятно где меняется, летит по-умолчанию в Computers.
Это мой первый опыт организации домена, если не сложно - поделитесь, как лучше все это организовать.
Спасибо.

[Telepuzik]

Цитата netvis:

часть ограничений снята »

Что за ограничения Вы хотите применять к объектам компьютерам?

[netvis]

Так, ну скорее там и настройки и ограничения: отключение брандмауэра, настройки обновления, запуск удаленного администрирования, отключение всяких там Netmeeting, конфигурация DNS и еще что-то...
Вы мне лучше объясните, почему каждая GPO содержит обе части - и компьютерную и пользовательскую? Если все компьютеры идут в разделе computers, значит для того, чтобы компьютерная часть GPO выполнялась необходимо, чтобы политика обязательно применялась либо к контроллеру домена, либо к домену, так?
Можно как-то сделать так, чтобы при регистрации новых ПК в домене объекты-записи складывались не в дефолтный computers, а куда-то еще?
Спасибо.

[Telepuzik]

Цитата netvis:

Если все компьютеры идут в разделе computers, значит для того, чтобы компьютерная часть GPO выполнялась необходимо, чтобы политика обязательно применялась либо к контроллеру домена, либо к домену, так? »

Нет не обезательно. Для компьютеров так же можно создать свою структуру OU и переместить объекты компьютеры в нужные OU и применить к ним политики, каждую политику к своему OU.

Цитата netvis:

Можно как-то сделать так, чтобы при регистрации новых ПК в домене объекты-записи складывались не в дефолтный computers, а куда-то еще? »

Да можно, выполните на КД команду redircmp ou = mycomputers, DC = contoso, dc = com (где contoso.com - имя Вашего домена) при вводе новых компьютеров в домен учетные записи компьютеров будут создаваться в OU mycomputers,а не в OU computers.