Представление Limiting Пользователей Active Directory и Компьютеров
смотрите на Угловой дисковый монитор Миски: http://www.diskmonitor.com/, не бесплатный но абсолютно настраивающийся к Вашим потребностям, разумная цена, можно попробовать 20 дней бесплатно.
Да, но это сложно. Что вам нужно сделать, так это перевести свой домен в режим List Object. Это делается путем установки третьего числа в атрибуте dsHeuristics в контексте именования конфигурации равным 1 в редакторе ADSI.
http://technet.microsoft.com/en-us/library/cc546864.aspx
После того, как вы ' Сделав это, вы разблокируете режим List Object, который вы увидите как новое разрешение или ACE, который вы можете назначить объектам Active Directory.
Это напоминает привилегию «обхода обхода» в системе безопасности Windows, которая позволяет пользователю перемещаться по папке, для которой у них нет разрешений, чтобы попасть в папку, к которой у них есть разрешения.
Вы чаще всего видите режим объектов списка AD, используемый в многопользовательских средах, где у вас есть несколько клиентов, использующих один и тот же домен AD, и вы не хотите, чтобы они могли видеть материалы друг друга.
Имейте в виду, что , что вы столкнетесь с ошибками приложения групповой политики на своих клиентах, если вы не будете очень и очень точны с вашими разрешениями. Механизм GP на клиенте должен прочитать gpLink, прочитать gpOptions, прочитать cn и прочитать Distinguished Name для каждого OU в цепочке от того места, где они находятся, вплоть до корня домена или приложения GPO. не удастся.
Вы столкнетесь с ошибками приложения групповой политики на ваших клиентах, если вы не будете очень и очень точны с вашими разрешениями. Механизму GP на клиенте необходимо прочитать gpLink, прочитать gpOptions, прочитать cn и прочитать Distinguished Name для каждого OU в цепочке от того места, где они находятся, вплоть до корня домена или приложения GPO не удастся. Вы столкнетесь с ошибками приложения групповой политики на ваших клиентах, если вы не будете очень и очень точны с вашими разрешениями. Механизму GP на клиенте необходимо прочитать gpLink, прочитать gpOptions, прочитать cn и прочитать Distinguished Name для каждого OU в цепочке от того места, где они находятся, вплоть до корня домена или приложения GPO не удастся.