Дизайн схемы LDAP
Консоль управления Групповой политикой обеспечивает API (см. http://msdn.microsoft.com/en-us/library/dd901424 (По сравнению с 85) .aspx), что можно использовать, чтобы сделать то, что Вы хотите. Существует много Powershell cmdlets, которые называют эти API, поэтому если Вы - удобное использование Powershell, можно быть дома свободные.
Вот устаревшее ре статьи: управление использованием Групповой политики Powershell: http://technet.microsoft.com/en-us/magazine/2007.05.grouppolicy.aspx (я говорю "устаревший", потому что существуют новые API и cmdlets доступный на предыдущую ссылку, что эта статья не касается.)
Педант во мне вынужден указать, что, что Вы создаете вот, не схемы, а расположения. Схема определяет типы объектов и атрибуты на объектах, расположение определяет, где объекты и какие значения присвоены атрибутам.
Это из пути...
Когда Вы добавите людей, Вы будете связывать их с OrganizationalRoles, который Вы определяете, и люди могут принадлежать многим из них. На самом деле, где их объект на самом деле находится, не присуждает прав; это - действие соединения ИЛИ с ними. Когда они свяжут, они получат права на ORs, они - член, независимо от того, где их объект.
Для ответа на вопрос выяснения, какие права они получают они должны быть перечислены в двух местах:
- На их пользовательском объекте
- На объекте organizationalRole
Вы сформировали бы запрос LDAP, чтобы вытянуть или атрибут orMember от пользовательского объекта или запросить все объекты organizationalRole с членом пользователя. Точное название атрибута на пользователе зависит от Вашей фактической используемой схемы LDAP.