Настройка политик безопасности
 

Не могу до конца понять принцип наследования политик безопасности контроллера домена.
Имеется подразделение в домене:

Техникум
....|___Сотрудники
....|___Администрация
....|___Учебные кабинеты
................|__к101
................|__к102
................|__к103

Пользователь Иванов находится в подразделении Сотрудники. В то же время он принадлежит группе администрация (в подразделении Администрация) и группе Информатики (в подразделении Учебные кабинеты).
Почему-то политики созданные в подразделении Учебные кабинеты, примененные к группе информатики не применяется к Иванову.

Подробнее:
В подразделении Учебные кабинеты создаю политику Ограничения использования программ с ограничением запуска всех кроме перечня путей.
Применяю политику к группе информатики и студенты (обе группы находятся в подразделении Учебные кабинеты)
пользователи, находящиеся в группе Студенты находятся в подразделениях к101,к102,к103 (u101-01, u101-02...)
К студентам политика применяется, а к иванову нет. Может из-за того что он вне подразделения? Но в группе же находится. А поместить внутрь подразделения не выход, т.к. он еще и в администрации. А там тоже политики свои.

Как быть? Надо, чтобы иванову на разных пк применялись разные политики. Но именно политики пользователя, а не пк.
Есть ли решение?

Именно! Политики не применяются к группам безопасности, политики применяются к Organizational Unit, соответственно к пользоватеям\компьютерам которые находятся именно в том OU на который нацелена политика. Группы служат лишь фильтрами, области действия политики. Либо перемещать Иванова в OU Учебные кабинеты, либо рассматривать "политику замыкания на себя" (loopback processing), читайте, в сети про нее много чего есть, так просто на пальцах не объяснить.
Про loopback: http://habrahabr.ru/post/122668/
Вам нужно разобраться для начала, для чего нужны группы и OU.

Спасибо. Совет реально решил проблему. Раньше нигде подобной идеи про loopback processing не встречал.