Додано (24.03.2010, 22:41)
---------------------------------------------
Оч хорошая утилитка для работы с GPO gpmc- Консоль управления групповой политикой - выводит список примененных политики и оч много чего: http://www.microsoft.com/DownLoa....lang=en

Додано (14.06.2010, 18:56)
---------------------------------------------
Может кому пригодится. Очень хорошее средство установки параметров безопасности для файловой системы (в т.ч. на удаленных ПК; через командную строку): XCACLS (Extended Change Access Control List).Пригодилась в такой ситуации: проходит практика у менеджеров в 2е смены и нужно чтобы одна смена не имела доступ к файлам другой - можно было бы сделать допольнительных пользователей, организовать сохранение по сети, но это не слишком оптимально по некоторым причинам.
Вообщем, установил этот скрипт, прописал такие батники (можно прописать в одном батнике соединив команды или имена командных файлов оператором &):
xcacls "\\user1.KBK.local\D$\Мои документы\Практика\1 смена" /D Everyone:RW - запрещает доступ группе Everyone (Все) на запись и чтение
xcacls "\\user1.KBK.local\D$\Мои документы\Практика\1 смена" /G Everyone:F - разрешает полный доступ группе Everyone (Все)
Кириллицу в командных файлах пришлось прописывать в редкторе DOSPad.

Пришла одна смена - запускается один баник на разрешение доступа на всех ПК к папкам "1 смена" и батник на запрет доступа к "2 смена". Приходит 2 смена - все далается наоборот. Батники можно запускать вручную или через планировщик задач в четко заданное время.

Краткая инструкция:
1) скачать XCACL: http://download.microsoft.com/downloa....ler.exe
2) запустить в командной строке: cscript.exe /h:cscript (изменится обработчик сценариев по умолчанию с Wscript на Cscript)
3) использование: xcacls имя_файла [/T] [/E] [/C] [/G пользователь:разрешение;особ_доступ] [/R пользователь] [/P пользователь:разрешение;особ_доступ [...]] [/D пользователь [...]] [/Y]
См. Использование сценария Xcacls.vbs для изменения разрешений NTFS: http://support.microsoft.com/kb/825751/ru

Додано (19.09.2010, 10:35)

Для небольших сетей (нескольких классов школы и т.п.) есть смысл создать в AD разные организационные единицы (OU) и не более того, контроллера домена хватит одного. К примеру, для второго учителя создайте отдельную учетку и передайте ей делегирование нужной OU, для удобства создайте оснастку чисто этой OU и передайте ее учителю, пусть устанавливает какие захочет групповые политики.
Для больших сетей (сотни, тысячи ПК) обязательно должны быть резервные DC, в сложно струкрутированных сетях (наличие крупных филиалов, разных управленческих единиц и т.п.) создаются леса или деревья из доменов.