А если допустим создавать пользователя в главном домене и просто назначать ему вручную группы из под доменов... получится реализовать? Пользователь заведенный в главном домене но вошедший в филиале под своим профилем главного домена, при этом указав главный домен,получит права назначенной ему филиальной группы? »
Вы усложняете схему сети, тогда как надо упрощать. У вас, как я понимаю пользователи будут перемещаться между филиалами - вот тут как раз подойдет один домен. Ну и тем более 16 доменов на 500 человек - это курьез. Накладные расходы на администрирование будут очень высоки. Тем более вам все же придется выполнять миграцию в единый лес, что со многими доменами, что с одним - не лучше ли сделать один домен.

Как насчет такого выхода для решения данной задачи? »
Это не выход, а костыли - со всеменем у вас при той схеме, что выхотите реализовать таких костылей будет все больше и больше.

Просто в некоторых филиалах из-за плохо дошедшей до них цивилизации интернет идет по EDGE и тот трафик что появится в результате одного домена не даст нормально работать. При том что машин я сказал 500 а пользователей примерно в два раза больше. И они ежедневно увольняются и устраиваются.

У вас, как я понимаю пользователи будут перемещаться между филиалами »
Постоянно только пользователи корня дерева доменов(сотрудники управляющей компании) будут перемешаться, остальные только в случае перевода, но это бывает раз в два месяца, можно и юзера создать.

трафик что появится в результате одного домена не даст нормально работать. При том что машин я сказал 500 а пользователей примерно в два раза больше. И они ежедневно увольняются и устраиваются. »
Трафик будет незаметен. Можете прикинуть его с помощью утилиты ADSizer http://support.microsoft.com/kb/927229/en-us
500 машин и 1000 пользователей - это очень немного. По меркам MS - средненьким считается тот домен, где более 50 тысяч активных пользователей - только начиная с этого размера они предлагают какие-то механизмы по оптимизации траффика репликации.
Постоянно только пользователи корня дерева доменов(сотрудники управляющей компании) будут перемешаться, остальные только в случае перевода, но это бывает раз в два месяца, можно и юзера создать. »
Все же я настаиваю на одном домене со многими сайтами.

Может я все же уперся в свое, против вашего совета, но сейчас я зашел на машинку которая включена в под домен с учеткой из главного домена и получил права назначенные мне в главном домене О_о

из-за плохо дошедшей до них цивилизации интернет идет по EDGE »
выставьте нужное расписание репликации.

я поддерживаю Ивана, при 500 учетках поддерживать 16 доменов это не то что курьез это сумасшествие...

Практика показывает что один домен с пяти десятью сайтами влазит 15 тыс. учеток и они совершенно спокойно увольняются, переводятся и пр.
Во втором есть сходная с вами ситуация, но там деление на домены происходит по региональному признаку.

Может я все же уперся в свое, против вашего совета, но сейчас я зашел на машинку которая включена в под домен с учеткой из главного домена и получил права назначенные мне в главном домене О_о »

Что вас смущает?

А если нужно пользователю разрешить вход на рабочие станции только из своего филиала?

выставьте нужное расписание репликации. »
Создал пользователя и сказал ему выходить на работу через месяц?

Что вас смущает? »
Достигнут результат для решение проблем "мигрирующих пользователь"

А если нужно пользователю разрешить вход на рабочие станции только из своего филиала? »
Это решаемо.
1. Создаете группы безопасности вида пользователи_такого-то_филиала
2. Из группы "пользователи" на компьютерах филиалов, посредством политики "Restricted groups" удаляете всех и довавляете группу "пользователи_такого-то_филиала"
3. Политика будет привязана на OU c компьютерами филиала - у каждого свой OU - своя политика.

Так получается ещё деление груп филиалов на отделы, а ещё в отделах не у всех одинаковые права. Вообще получается головоломка

Так получается ещё деление груп филиалов на отделы, а ещё в отделах не у всех одинаковые права. Вообще получается головоломка »
Вам при любом раскладе понадобится одинаковое количество групп, пользователей и компьютеров и OU - только вам предлагают это сделать проще - а вы хотите усложнить.
PS: полагаю дискуссия зашла в тупик :( - мы пустились обсуждать частности

Ладно перейду к практике.
Спасибо всем за помощь. Дискуссию думаю не стоит закрывать.

Создал пользователя и сказал ему выходить на работу через месяц? »
у вас этот пользователь в каком филиале работает?
на Сахалине и оформляете вы его в Москве?
В подразделении где он принимается (на площадке) есть свой контроллер на котором сотрудник технической поддержки имеет право создания учетных записей пользователей, далее согласно расписанию репликации данные реплицируются, например два раза в день.

Естественно вам нужно подумать какая топология репликации ван нужна (я рекомендую классическую звезду, но надо смотреть на месте) и в зависимости от задачи настроить расписание репликации.

при нормальном канале и при активных разъездах пользоватей достаточно установить раз в час, при медленных линках хоть раз в сутки...

Естественно вам нужно подумать какая топология репликации ван нужна (я рекомендую классическую звезду, но надо смотреть на месте) и в зависимости от задачи настроить расписание репликации. »
Позволю себе поправить - топологией межсайтовой репликации пусть занимаются ISTG в своих сайтах - они сами выстроят топологию согласно STA. Полагаю вы имели ввиду убрать галку "bridge all site links" и настроить связи сайтов в виде звезды.

далее согласно расписанию репликации данные реплицируются, например два раза в день. »
p.s.: в 2008 R2 пользователя заведённого в "филиальном" домене можно не реплицировать на главный домен.
я вот только не помню как эта фича называется, и доступна ли она только RODC или в FULLDC... (как обозначается не RODC контроллер?)

Полагаю вы имели ввиду убрать галку "bridge all site links" и настроить связи сайтов в виде звезды. »
именно так.

Появилась проблемка. Добавляю адмуну главного домена группу админа дочернего домена. Он пишет что роль назначится не ранее чем через 15 минут, время репликации 15 минут, я ещё и вручную запустил, ждал сутки но группа так и не назначилась. Как вообще сделать админа на все домены одного?

на все домены одного админа изначально не правильно и недопустимо из соображений безопасности.

Если уж очень надо то используйте глобальную группу в которую включены нужные пользователи (только не Администратор) и эту группу добавляйте в группу Administrators каждого домена.

p.s.: в 2008 R2 »
ошибся. в RODC хранятся все пользователи, но хеши паролей хранит только заданных пользователей... наверное это никак не будет влиять на репликацию.

Да дело не только в админах. Назначение прав например пользователям RDP.
Есть такая группа администраторы предприятия, на корне добавлены нужные пользователи в эту группу, на подчиненных это группа автоматически добавляется в администраторы. Но вот только если зайти на ПК из поддомена то прав админа нету. В администраторы домена не получается добавить.

И ещё не получается переместить пользователя из одного домена в другой. На вкладке Учетная запись меняю домен, тыкаю Ок жду репликацию и нифига на основном контроллере доменов он не появляется.

как перенести пользователя или компьютер в другой домен?

USMT