[cameron]

Цитата exo:

Вопрос: как найти, где это разрешение прописано? »

ADUC-вид-допонительные компоненты.
после чего корень домена-свойства-безопасность и изучайте
тот скрин что вы показали не даёт им таких прав, если эта политика не применяется на КД.

[exo]

Цитата cameron:

и изучайте »

изучил, учётной записи данного сотрудника нет нигде...

Цитата cameron:

если эта политика не применяется на КД. »

вы не поверите, тот кто её создавал... он создал её в Default Domain Policy. А она действует на весь домен.
Получается, что даёт права. Следовательно, нужно её убрать с корня домена.
вопрос:

группа All_local_admin находится в пользователях. Выделено красным.
а компьютеры в "Ресурсы - Компьютеры" Выделено синим.

Как мне применить политику, чтобы All_local_admin были локальными администраторами на компьютерах из OU "Ресурсы - Компьютеры"?
Может группу переместить в ресурсы... но ведь пользователи этой группы находятся в своей OU...

[cameron]

Цитата exo:

группа All_local_admin находится в пользователях. Выделено красным. »

ну и что? это не влияет ни на что.

Цитата exo:

Как мне применить политику, чтобы All_local_admin были локальными администраторами на компьютерах из OU "Ресурсы - Компьютеры"? »

так как Restricted Groups находятся в конфигурации компьютера, то вам нужно применять политику с этими настройками на OU где находтся компьютеры.
следовательно вам нужно прилинковать вашу политику с RG на OU "Ресурсы-Компьютеры", если хотите что группа All_Local_admin получила права локальных администраторов на всех компьютерах которые находтся в OU "Ресурсы-Компьютеры" и вложенных в него OU.

Цитата exo:

Может группу переместить в ресурсы... но ведь пользователи этой группы находятся в своей OU... »

это, опять же, не имеет значения.