Добрый день!
Захотелось написать политку, которая включала бы у заданных пользователей отображение расширений файлов.

Тут возник затык (провал) в правилах применения ГПО.

Заданные компы уже добавлены в отдельную ОУ-ку. Пишу политику и подлинковываю к этой оушке.
В политике, точнее - в Предпочтениях, в разделе Конфигурация Пользователя - Параметры панели управления - Параметры папок создаю парамерты для компов Виста и новее, чтобы расширения отображались.

Политика не действует!
Попробовал подлинковать ее в целом к домену - действует. При подлинковке к конкретной ОУ-шке не действует.

Это я уже что-то попутал, или так и должно быть?
Вроде бы политика должна распространяться на все указанные компы, которые в ОУ с ограничением что подействует только на доменных пользователей, которые на них зайдут?

Или это меня переклинило, и раз политика написана в разделе На пользователя, то и подлинковка должна быть к ОУ-шке, в которой учетки юзеров лежат?

Галочка Выполнять в контексте безопасности вошедшего пользователя стоит.
Попробовал до кучи там же, при создании политики на вкладке Общие параметры - Нацеливание отдельно указать, что действует на компы домена или на пользователей домена - не помогает...

Плиз, хэлп.

Заданные компы уже добавлены в отдельную ОУ-ку »
Конфигурация Пользователя »

К компьютерам применяются политики, только из раздела "Конфигурация компьютера". Отсюда два решения:
1 - прилинковать политику к OU с пользователями.
2 - включить loopback processing mode (https://technet.microsoft.com/en-us/library/cc978513.aspx?f=255&MSPPError=-2147217396)
Во втором случае конфигурация пользователя будет применяться ко всем пользователям, которые входят на компьютеры, лежащие в OU, куда политика прилинкована, несмотря на то, что самих пользователей в ней нет

Да, похоже вы правы, что-то переклинило меня...
А если такой вариант: подлинковать политику в целом к домену, но с фильтром безопасности, чтобы применялась к заданной доменной группе. А всех нужных юзеров включить в эту группу?
Как такое с точки зрения производительности?
С loopback не работал, как вариант можно поизучать...

Можно сделать и так. Чем ближе политика будет лежать к конечной OU с юзерами, тем лучше.

Да, с луп-бэком помогло, спасибо!
Удобный параметр :-)

А если такой вариант: подлинковать политику в целом к домену, но с фильтром безопасности, чтобы применялась к заданной доменной группе. А всех нужных юзеров включить в эту группу?
Как такое с точки зрения производительности? »
Одинаково.

Да, с луп-бэком помогло, спасибо!
Удобный параметр :-) »


Вообще правильно делать так.
Пользователи из разных подразделений разносятся по соответствующим OU вместе со своими компьютерами.
Политики с параметрами, одинаковыми для всех пользователей и/или компьютеров подразделения, просто назначаются данным OU.
Для политик, которые должны действовать на конкретных пользователей, создаются группы безопасности с понятными именами (например GPO_Show_Ext), включающие только этих пользователей, и эта группа записывается в фильтр вместо стандартной "Прошедшие проверку"
Ну а loopback используется в конкретных случаях - когда надо указать параметры пользователей только на конкретных компьютерах. Например "разрешить запуск только нужной программы" на сервере терминалов с этой программой.

В вашем случае loopback явно излишен.