как создать набор прав для не встроенной группы в Active Directory
 

народ помогите с этим делом, мне просто интересно есть ли необходимость создавать свои группы пользователей в домене, или можно обойтись встроенными. И если есть, как сделать в группе права, ограничивающе пользователей в чем нить.
пользователей я создал, и закинул их в подпапки, вот на эти подпапки можно делать групповые политики, а для созданных групп низя... или я че то не догнал?

Создавать надо OU, к ним цеплять политики. На встроенные OU ГП не действует.

в моем случае подпапка означала - OU (сорри за мою терминологию), это я уже понял....
но если я хочу создать группу пользователей типа Администраторы, тока чтоб они че то не могли делать, ну к примеру не могли устанавливать программы, как вот это огранчение определить конкретной группе?
п.с. если нельзя этого сделать, тогда в чем смысл создания невстроенных в AD групп?

abbat_gro,
ууу батенька смысл в нестроенных групп в десяки тысяч раз больше чем строенные.
вот как раз в вашем примере и нужно создать группу типа администраторы но не совсем так как нужно запрет на установку програм.

Спасибо дядьки! буду читать....
думал кто нить вкратце расскажет, чтоб иметь представление ))))

видимо догнал, после создания групп пользователей, я могу через локальную политику безопасности определить возможности той или иной группы?

не через локальную политику безопасности, а через групповую политику домена(Default Domain Policy)

Тогда уж уточним, что Default Domain Policy трогать не рекомендуется (за исключением политики паролей). Для общих доменных изменений создать новую политику и прилинковать к домену, а для каждого OU, при необходимости, создавать свои политики.
Вообще, проще воспользоваться поиском - найдете массу полезного материала.