Столкнулся с аналогичной проблемой. Только у меня еще хуже - вообще ни одна из политик не применяется к пользователям домена, входящих с сетевых компов. Уже два дня нахожусь в поисках решения проблемы.
 Мне бы хватило применения "конфигурации пользователя". Ты делал какие-либо настройки на клиентских машинах? Как добился применения пользовательской политики?
 Буду очень признателен всем, кто сможет навести на решение.

Народ копать надо по следующей схеме:
Схема наложения политик в домене: буквально LSD, т.е. LocalMachine->Site->Domain->OrganizationalUnit.Замечу что domain controller - является специфической OU.Также внимание необходимо обратить на свойства конкретного GPO.Существуют три основных правила:задавливание всех нижестоящих по иерархии GPO,предотвращение задавливания от вышестоящих GPO, фильтрация (к каким учетным записям применять - user,computer и т.д.) и временное отключение GPO.Также необходимо обратить внимание на галочки к каким объектам применять GPO.Domain Security Policies и Domain Controller policies изменять осторожно, желательно не привязывать GPO к сайту.Лучше всего создать OU,прицепить новый GPO к нему и тестировать и тестировать.Важно помнить что по умолчанию групповые политики применяются с задержкой (5 минут к контроллеру домена и около 3 часов к рабочим станциям - если ничего не меняли специально).Существует также форсирование с помощью команды secedit.

 Спасибо, Tarantul. Но в моем случае проблема заключалась в другом.
Я только что ее решил!!! Ведь я догадывался, что собака зарыта совсем на там, где я искал. Я перерыл все возможные настройки на сервере, связанные с групповыми политиками домена. Но они ни в какую не хотели применяться. В конце концов, я пришел к выводу, что клиенты не видят домен (хотя пользователи домена могут логинится с клиентов). Оказалось, что я забыл сменить адрес DNS с внешнего на адрес сервака. Таким образом не происходило разыменование имен домена.
 Сейчас наконец-то приступлю к конфигурации политик. Еще не знаю, будут ли работать политики компьютеров. Но политики пользователей применяются.

[PolarBear]

Мне на другом форуме подсказали две хорошие идеи, после чего все заработало.

1. Чтобы работали политики в части ветки HKLM нужно помнить, что компьютеры - они тоже люди и не забывать вставлять группу "компьютеры домена" в закладку по безопасности в конкретной политике.

2. Для распространения софта (в частности) их (копьютеры) надо _тоже_наделять такими же правами, как пользователей на чтение пакетов *.msi

3. Не забывать, что политика применяется к _конкретному_контейнеру. Если это не домен и объект "Компьютер" не находится в данном контейнере, то не применится к нему НИЧЕГО.

Спасибо всем сочувствующим

[SkyF]

PolarBear

1. *лажа
Прошедние проверку - и так имеют право чтения и применения, добавлять какие-либо другие группы - нет необходимости. Объеты компьютер, также аутентифицируются в домене и являются членами системной группы - Прошедшие проверку (объекты)
2. *лажа
подойдет и Все(Чт и Выполнение) в качестве записи безопасности, а учетные записи не нужно указывать в списке безопсности общего каталога.
3. *лажа
Объекты крупповой политики не могут применяться у контейнерам, а применяются к организационным подразделениям (, а также доменам и сайтам).
Кроме того ОГП - действует не только на объекты в конкретном ОУ, но и на все компьютеры и учетные записи из дочерних ОУ, тк ГП наследуется.

Tarantul

Цитата:

Важно помнить что по умолчанию групповые политики применяются с задержкой (5 минут к контроллеру домена и около 3 часов к рабочим станциям.

максимум 90+30 минут, те 120 минут= 2 часа.

[PolarBear]

to: SkyF

1. *Согласен - лажа, приношу извинения. Не проверил сразу. Спасибо за поправку. Долго не мог понять почему не работало у меня, видимо изменения вносил чохом.

2. не понял в чем лажа? Я именно это и имел виду, (чт и вып) - А что еще нужно пользователю, чтобы установить под него пакет ? Дело в том, что если мне не нужно "Все", а нужно по группам, то я же должен представлять - что именно необходимо выставить.

3. Не понял в чем лажа?
OU - не контейнер? OU не содержит других объектов? А что - это - лист? *
А теперь связываемк политику с OU, при этом объект, на который мы хотим воздействовать - Компьютер - не находится внутри данного OU. Хотите сказать, что у него будет все OK?

Цитата:

Кроме того ОГП - действует не только на объекты в конкретном ОУ, но и на все компьютеры и учетные записи из дочерних ОУ, тк ГП наследуется.

Наследуются, если политика ниже по дереву не блокируется, если быть точным.


По поводу 2-х часов - согласен. Как согласен и с Tarantul, что secedit еще никто не отменял.

И вопрос можно? Допустим у меня есть папка сети, где складируются пакеты MSI для установки с одной стороны.
У меня есть часть пользователей, которые находятся в одном OU. Административно необходимо ставить ряд пакетов для всех пользователей в данном OU, а для некоторых (не для всех) еще часть пакетов. Как сделать так, чтобы корректно это устроить?
Вынести часть пользователей в OU ниже по дереву, или создать две политики по распространению софта?

[s]Исправлено: PolarBear, 8:56 17-08-2004[/s]


[s]Исправлено: PolarBear, 10:24 17-08-2004[/s]

[SkyF]

Цитата:

2. не понял в чем лажа?

вот в этом:

Цитата:

их (копьютеры) надо _тоже_наделять такими же правами, как пользователей на чтение пакетов *.msi

Объекты компьютер вообще не нужно никуда добавлять и где-либо указывать. Значение, используемое по умолчанию в списке безопасности (а именно специальная группа Все (Everyone) - с правами на чтение) - уже и будет включать в себя учетные записи компьютеров, аутентифицироваашихся в домене. Добавлять к ней еще раз их не стоит. поэтому пункт 2 можно не выполнять.

Цитата:

OU - не контейнер?

нет, OU - это Organisational Unit - организационное подразделение (ОП), контейнерами именуются другие объекты в Службе каталогов. Откройте dsa.msc, включите вид табличный *и посмотрите что и как называется. Контейнеры - это Builtin, Computers * и Users.
Мы просто в терминах разошлись, верно? Вы имели в виду турмины дерева, я термины АД. Вот и утрясли.

Цитата:

А теперь связываемк политику с OU, при этом объект, на который мы хотим воздействовать - Компьютер - не находится внутри данного OU. Хотите сказать, что у него будет все OK?

Я уже ответил, читайте внимательнее: 3. *лажа
Объекты крупповой политики не могут применяться у контейнерам, а применяются к организационным подразделениям (, а также доменам и сайтам).
Кроме того ОГП - действует не только на объекты в конкретном ОП, но и на все компьютеры и учетные записи из дочерних ОП, тк ГП наследуется.

Цитата:

Вынести часть пользователей в OU ниже по дереву, или создать две политики по распространению софта?

Сделать 2 объекта групповой политики. Обе политики привязать к родительскому ОП. Далее создать группу и добавить в нее пользователей, которым не нужно ставить часть пакетов. В ОГП, который эти пакеты устанавливает в спискебезопасности добавить эту группу и выбрать Запрет на Применение политики (этой). Для отображения списков безопасности нужно включить в меню активизировать ВИД- дополнительные параметры.


[s]Исправлено: SkyF, 15:44 17-08-2004[/s]

[PolarBear]

Спасибо за совет. По поводу ограничения все ясно.
Разошлись мы в терминах.  Действительно "Контейнер" в AD и в NDS  - понятия разные, и один OU на другой OU не совсем похож
Но вопрос остался.

Цитата:

Объекты крупповой политики не могут применяться у контейнерам, а применяются к организационным подразделениям (, а также доменам и сайтам).

С доменами и сайтами мне все понятно - они накрывают структуру и учетные записи дочерних OU.
Вопрос в следующем.
В домене есть OU например "отдел"
в этом OU размещаются учетные записи пользователей.
учетные записи компьютеров, присоединенных к домену хранятся в контейнере (тут вроде термин правильный) "Computers"
Пользователи из OU "Отдел" при входе в сеть регистрируются физически с этих компьютеров.
Если я свяжу политику с OU "Отдел" и в ней применю административные шаблоны к ветке "Конфигурация компьютера" в описанном примере все сработает?
Мне кажется, что нет.
Если ошибаюсь - поправьте, pls.

[SkyF]

Цитата:

Мне кажется, что нет.

и мне.

нужно либо на уровне всего домена применять ОГП (может потом фильтровать только группы с учетными записями из ОП "отдел", либо переместить объекты компьютеры в это ОП, или создать дочернее ОП, назвав его, к примеру, "Отдел ОП компьютеры" (или просто "компьютеры", но это не совсем правильно, тк если есть еще одно ОП "Отдел2" и в нем туже структуру реализовывать, то будет уже 2 объекта ОП с относительным именем "компьютеры" - что не желательно, а правильно было дать имя ему "отдел2 ОП компьютеры"
ИМХО.