Заполнение полей GPO
 

Попробовал впервые создать GPO Test в домене. Пользователи и компьютеры у меня в AD, а не в GPO Test.
1)Когда создается GPO, то в поле Security Filtering уже подставилось Authenticated Users.
Это значит, что хотя я никаких пользователей не вносил в папку GPO в AD, все что я исправлю в этом GPO сразу подействует на всех Authenticated Users в домене?
А если мне надо только для некоторых юзеров применить? Их дважды надо вносить - в папку GPO Test в AD и в Security Settings?
Что надо изменять на вкладке Delegation, где права написаны?

2)В OU на вкладке Group Policy Inheritance перечислены GPO, причем в первой колонке Precedence пронумерованы 1,2,3 На третьем месте Default Domain Policy.
а на втором, то GPO, что во вторую очередь создано для OU. Есть переключатель, который может инвертировать порядок. Будет ли эта инверсия действительно действовать в смысле пересиливания одной политики над другой,
потому что ko4evneg говорил в лекции(урок 11 после 56 мин https://www.youtube.com/watch?v=Rmv3...y23nlwYnsEsn8), что всегда последнее GPO сильнее, чем Default Domain Policy? Сильнее всегда то, что под номером 1?(Но под номером 1 можно сделать Default DP) Я не имею в виду установку Enforced в Yes, оно остается No.
На вкладке Linked Group Policy Objects можно переставлять местами те GPO, что созданы внутри OU, а Default Domain Policy почему то для перестановки нет.

3)Можно ли поместить юзера или компьютер в два-три независимых(невложенных) OU одновременно, если надо несколько политик применить? Функция копирования пользователя в AD только копирует пользователя в нового пользователя, а в OU не копирует.

4)Очень многие настраиваемые параметры в GPO относящиеся к User Configuration/../Admin templates относятся только к устаревшим ОС типа 2000, ХР, 2003, на новый IE тоже не действуют. Нет ли где в интернете аналогичных подгружаемых параметров, действующих на клиентов windows 7 и 8 и на новый IE в них?

Нет.
После создания GPO вы должны связать её с каким-либо подразделенем домена (например "бухгалтерия").
И соответственно эта политика применится к пользователям и компьютерам, расположенным в этом подразделении.
Причём если вы используете группу безопасности "прошедшие проверку", политика применится ко всем участникам подразделения. Если же вы создадите и укажете другую группу безопасности, политика применится только к тем участникам подразделения, которые входят в эту группу безопасности.

Разумеется, вы можете связать политику с корнем домена, тогда она применится ко всем участникам домена, соответствующим группам безопасности.

Я создал это GPO, предварителеьно создав OU, чтоб потом в это OU копировать компьютеры и пользователей. GPO создалось в дереве gpmc внутри OU. Если я скопирую в OU компьютер или группу пользователей "Бухгалтерия", то этого достаточно, наверно, будет чтобы сразу GPO на них стало действовать после gpupdate /force на сервере?

Если Ваша политика прилинкована (связана) с этим OU - то да, она будет действовать на всех пользователей и ПК которые вы переместите в это OU. Группы тут не при чем, политика не может действовать на группы, однако, она может служить фильтром действия. Например: имеем OU "Бухгалтерия" в нем содержится 4 ПК с именами BUH1,BUH2,BUH3 Вам нужно чтобы политика действовала не на все ПК а лишь на BUH1 и BUH3, вы создаете группу куда добавляете эти 2 ПК, а вот уже в GP убираете группу "Authenicated Users" и ставите группу с этими 2мя ПК, тогда политика будет применяться не на все ПК в этом OU,а только на 2 ПК!

Поправка - вы должны не "скопировать", а переместить компьютер и/или пользователя в данную OU.
При этом нужно помещать в OU именно объекты компьютеров и пользователей.
Если же вы просто поместите в OU группу безопасности, в состав которой входит компьютер или пользователь, в то время как сам компьютер или пользователь будет находиться вне зоны действия групповой политики, то политика на него не применится.

Тогда на третий вопрос, по-видимому, ответ - нет? Только вложенные политики допустимы?
Кто знает ответ на второй вопрос о перестановке-пересиливания политик?

Угу. Ответ — «нет».

К подразделению, домену, сайту можно привязать несколько политик.

OU - это подразделение организации. "Бухгалтерия", "Отдел кадров", "Транспортный цех" и так далее.
Как вы себе представляете специалиста, который работает сразу в нескольких отделах? Или компьютер, установленный в нескольких помещениях?

Если всё же требуется применять политики произвольно к отдельным участникам разных подразделений, то нужно применить групповую политику ко всему домену в целом. При этом создаёте группу безопасности, добавляете в неё нужные компьютеры/пользователей и в параметрах политики указываете ограничения на применение - только к указанной группе безопасности.

Проверьте.
Создайте пустое OU (без каких-либо участников) и примените к нему несколько разных политик, параметры которых будут "перекрывать" друг друга.
Затем сделайте для данного OU моделирование применения политик, и посмотрите, что будет показывать средство проверки политик. Стандартные средства Windows 2008 позволяют делать это без необходимости реального применения к существующим компьютерам или пользователям.