Я настроил свой WS2k8 R2 AD следующим образом:
OU «OU1» содержит группу безопасности с именем «GROUP1». Я применил некоторую групповую политику к «OU1». Групповая политика применяется.
Мои пользователи находятся в подразделении «Пользователи» по умолчанию. Пользователи являются членами группы «ГРУППА1».
Проблема в том, что GP не применяется к пользователям.
Если я создаю пользователей в OU «OU1», политики применяются должным образом.
Очень признателен, Джеймс
Это потому, что групповые политики применяются на основе где существует пользовательский объект не в какой-либо группе, в которой находится пользователь. Это один из наиболее сбивающих с толку аспектов объектов групповой политики. В названии написано «группа», очевидно, это должно относиться к группам, верно? Нет, по крайней мере, без дополнительной работы. Чтобы GPO применялся к пользователю, он должен быть установлен в OU на пути пользователя к корню домена.
Чтобы настроить его таким образом, чтобы членство в группе фактически вызывало применение GPO, для этого есть процедура:
http://technet.microsoft.com/en-us/library/cc786636%28WS.10%29.aspx
Это работает немного по-другому, потому что вы должны применить его ко всем, но вы устанавливаете его так, чтобы только члены определенной группы фактически выполняли его. Итак, вы должны установить его в своем пользовательском подразделении, и только члены настроенной группы получат его.
Групповая политика не применяется к таким группам. Он применяется к компьютерам или пользовательским объектам в рамках подразделения, которое оно применяется.
Если вы хотите, чтобы групповая политика применялась только к определенной группе, вам необходимо прикрепить групповую политику ко всей вашей пользовательской OU, а затем использовать Фильтрация групповой политики чтобы ограничить его только необходимой вам группой пользователей.
Что вам нужно сделать, так это включить кольцевую обработку GPO на компьютере (ах), в который пользователи входят. Обработка петли принудительно применяет gpo к пользователям, входящим в эти компьютеры, независимо от того, где находятся объекты пользователей в вашей AD. Вы можете найти более подробную информацию в этом KB: http://support.microsoft.com/kb/231287 .
Вы видите поведение по умолчанию. Групповые политики устанавливаются на уровне подразделения и применяются к объектам в этом подразделении. Группы не расширяются для применения групповой политики.
Самым простым решением может быть перемещение пользователей в OU1 OU. Вам нужно будет убедиться, что никакие другие групповые политики не применяются конкретно к подразделению Users.