Сообщение от
gl00mie
Переведите, что именно означает третий пункт.Сколько у вас доменных контроллеров (DC)? Какой из них использует хост АОСа, к которому подключается пользователь? К какому из них подключаетесь вы для манипуляций с группой пользователей? AD - это, кроме прочего, распределенная база данных, реплики которой хранятся локально на каждом DC. Изменения, сделанные на одном контроллере, распространяются по другим постепенно, обычный интервал обмена изменениями - 15 минут. Исключение составляют блокировка пользователя и изменение пароля - такие изменения DC стараются распространить сразу же.
Так что если вы подключились к одному DC, произвели изменения в группе пользователей, а затем сразу запустили клиента АХ и подключились к АОСу, который работает с другим DC, то вполне логично, что АОС оказывается еще "не в курсе", что в доступе пользователю должно быть отказано.
Утилиты работы с AD, вроде оснастки "AD Users and Computers" или ADSIEdit, умеют подключаться к произвольному DC. Запросы от обычных приложений вроде АОСа идут к какому-то одному DC на усмотрение виндов на локальном хосте. Если вы залогинились на такой хост, можно для простоты посмотреть имя DC в переменной окружения LOGONSERVER.