Групповые политики и группы
 

Применяются ли групповые политики к группам?
Допустим, есть OU - Users, в OU создана группа - Managers, в группе есть пользователь - Anna, к OU применяется политика - обои "Писюн" для рабочего стола. Политика "Писюна" не применяется. Переношу пользователя Anna в OU Managers и "Писюн" появляется на рабочем столе.

Чтобы политика применялась к конкретной группе необходимо эту группу добавить в раздел "безопасность" политики с правами чтение и применение.

Вы про это? Разве дефолтная группа Authenticated Users не означает, что политика будет применяться и ко всем остальным группам? Пользователь Anna, который в группе Managers, он же и так находится в группе Authenticated Users. Это как вложение [Authenticated Users]-[Managers]-[Anna], разве нет?

Нет. Групповая политика применяется либо к компьютеру либо к пользователю.

А есть какое-то документальное подтверждение этому, чтобы там было четко сказано, что к объекту группа не применяется политика? Я все обыскал, а если и находил, то только такие же ответы, а на чем они основаны никто не писал.

Нет никакой вложенности, есть отдельно группа с пользователями Authenticated Users и группа Managers. Юзер Anna находится в обоих группах. У меня таким образом (Secrity filtering) фильтровались политики, но после последних обновлений ОС необходимо было добавить в Secrity filtering, кроме нужной группы и группу доменных юзеров или доменных компьютеров, но только для чтения.

Более точно: Групповая политика применяется к компьютеру и/или к пользователю находящемуся в группе безопасности, которая указана в Security Filtering.
:)

Я это образно. Если а=б, а б=ц, то а=ц. Это я имел в виду.
Я такое сделал с Authenticated Users, которая по умолчанию идет с политикой и вроде бы прокатило. Или я ошибаюсь и потом пойдут ошибки? (ну и костыль, зачем нужно было это обновление)

Обычно ошибок не бывает - вносишь нужную группу для применения, линкуешь политику на нужную OU или выше и всё.

Я имел в виду ту хрень, когда надо оставлять права чтения у каких-то системных групп. Вот про эту хрень. Я сначала не понимал, почему не применяется политика, если в секьюрити фильтре стоит только группа Managers. Потом выяснилось, что если снять флажок применения политик у группы Authenticated Users, а не полностью ее удалить, то все работает. Вот и спросил, что у меня работает [нужная группа]+[чтение Authenticated Users], а у вас [нужная группа]+[чтение группы доменных юзеров или доменных компьютеров]

И ещё такой ​вопрос возник. Если в секьюрити фильтре стоит, например, группа Managers, а в самой группе Managers находится группа UltraPowerManagers, политика повлияет на UltraPowerManagers? Она же фильтром отсекается, но в тоже время она в группе Managers, на которую политика действует (ну и костыли)

Вы совсем всё перепутали.

Для применения групповой политики к пользователю и/или компьютеру нужно совпадение двух условий.
1. Чтобы этот пользователь или компьютер входил в ОU, на которую применяется эта политика
2. Чтобы этот пользователь или компьютер входил в группу безопасности, для которой у этой политики будут прописаны права на чтение и на применение.
По умолчанию, у всех политик прописаны права для предопределённой служебной группы "Проверенные пользователи", которая включает всех пользователей и компьютеров, вошедших в систему (то есть фактически вообще всех)
Если вы хотите, чтобы ваша политика была применена не ко всем пользователям и компьютерам данного OU, а только к конкретным, вы можете заменить группу "Проверенные пользователи" на вашу ("Менеджеры" и т.д.).

Здесь особое внимание нужно обращать на дополнительные параметры безопасности в свойствах групповой политики


То, что вы помещаете группу безопасности в OU, само по себе ничего не значит.