Групповая политика, не применяемая, если пользователь не находится в OU

Поэтому Полицейские Группы применяются на основе того, где пользовательский объект существует не на любой группе, пользователь находится в. Это - один из более запутывающих аспектов Объектов Групповой политики. Это говорит, что группа на имя, очевидно, должно относиться к праву групп? Нет, по крайней мере, не без дополнительной работы. Чтобы иметь GPO, относятся к пользователю, он должен быть установлен на OU в пути пользователя к корню домена.

Для установки его так, чтобы состав группы на самом деле вызвал приложение GPO существует процедура этого:

http://technet.microsoft.com/en-us/library/cc786636%28WS.10%29.aspx

Это работает немного по-другому в этом, необходимо применить его ко всем, но Вы устанавливаете его поэтому, только члены определенной группы на самом деле выполняют его. Так, Вы установили его на OU своего Пользователя, и только члены настроенной группы получат его.

То, что Вы видите, является поведением по умолчанию. Групповые политики установлены на уровне OU и относятся к объектам в этом OU. Группы не расширены, чтобы применить групповую политику.

Самое легкое решение могло бы состоять в том, чтобы переместить пользователей в OU1 OU. Необходимо было бы удостовериться, что нет никаких других групповых политик, примененных конкретно к Пользователям OU.

То, что необходимо сделать, включают Петлевую Обработку GPO на компьютере (компьютерах), в который входят пользователи. Петлевая Обработка вынуждает почтамт быть примененным на пользователей, входящих в эти компьютеры независимо от того, где пользовательские объекты расположены в Вашем AD. Можно найти больше детали в этом КБ: http://support.microsoft.com/kb/231287.