GPO. Применить политику к группе пользователей.

По умолчанию политика пользователя привязана к контейнеру и соответственно всем пользователям внутри него (прошедшим аутентификацию).
Задача. Сделать гибкую настройку, не перемещая объекты AD.
Решение.

1. Создаем политику. Подкручиваем в политике пользователя что нужно. 
2. Настраиваем значение "Security Filtering". Указываем здесь группу к которой применять политику. Например "mydomain-users"
3. Если нужно исключить например "mydomain-asu" (в предположении, что члены группы "mydomain-asu" входят также в группу "mydomain-users"). Идем на вкладку "Deligation". Добавляем сюда группу "mydomain-asu" - "Advanced" - даем "full" - !!! снимаем последнюю галочку "Apply group policy" . 

Хитрость проста: На применение политики также нужны права.  Дайте их кому необходимо или заберите у избранных.

Яркий пример зачем это нужно - запрещаем пользователям командную строку, но оставляем разрешение для сотрудников асу.

выгрузка данных из AD в Excel

Спасибо источнику: http://www.rublin.org/article/skript-izmeneniya-svoistv-polzovatelya-v-ad
слегка подправлено под собчстенные нужды - изменения выделены цветом
Проверено на Windows 2008 R2 Enterprise c ролями addc,dns,dhcp.

SET objRootDSE = GETOBJECT("LDAP://RootDSE")
strExportFile = "C:\scripts\111.xls"
strRoot = objRootDSE.GET("DefaultNamingContext")
strOES = "ou=users,ou=your conteiner" & strRoot
strfilter = "(&(objectCategory=Person)(objectClass=User))"
strAttributes = "sAMAccountName,userPrincipalName,givenName,sn," & _
                                "initials,displayName,physicalDeliveryOfficeName," & _
                                "telephoneNumber,mail,wWWHomePage,profilePath," & _
                                "scriptPath,homeDirectory,homeDrive,title,department," & _
                                "company,manager,homePhone,pager,mobile," & _
                                "facsimileTelephoneNumber,ipphone,info," & _
                                "streetAddress,postOfficeBox,l,st,postalCode,c"
strScope = "subtree"


SET cn = CREATEOBJECT("ADODB.Connection")
SET cmd = CREATEOBJECT("ADODB.Command")
cn.Provider = "ADsDSOObject"
cn.Open "Active Directory Provider"
cmd.ActiveConnection = cn
cmd.Properties("Page Size") = 1000
cmd.commandtext = "<LDAP://" & stroes & ">;" & strFilter & ";" & _
                                   strAttributes & ";" & strScope
SET rs = cmd.EXECUTE
SET objExcel = CREATEOBJECT("Excel.Application")
SET objWB = objExcel.Workbooks.Add
SET objSheet = objWB.Worksheets(1)
FOR i = 0 To rs.Fields.Count - 1
                objSheet.Cells(1, i + 1).Value = rs.Fields(i).Name
                objSheet.Cells(1, i + 1).Font.Bold = TRUE
NEXT
objSheet.Range("A2").CopyFromRecordset(rs)
objWB.SaveAs(strExportFile)
rs.close
cn.close
SET objSheet = NOTHING
SET objWB =  NOTHING
objExcel.Quit()
SET objExcel = NOTHING
Wscript.echo "Script Finished..Please See " & strExportFile

XP перезагружается после установки обновления (KB2862152). ошибка lsass.exe

Выявлена несовместимость  обнолвения KB2862152  на ОС Windows XP sp3 (+ все предыдущие обновления безопасности) c программным обеспечением Secret Net
Симптомы:
После установки обновления и перезагрузки система впадает в циклическую перезагрузку по таймауту 1 минута (предупреждает даже :) ). Есть подозрение, что cрабатывает механизм защиты Secret Net от несанкционированного доступа. На некоторых компах проскакивает еще ошибка lsass.exe, но не при каждой перезагрузке. Закономерность выявить не удалось.
Решение: деинсталлировать обновление ( и зависимые):   KB28686226,  KB2900986, KB2862152 на проблемных компах. Отменить approval  этих обновлений на сервере WSUS.