Задача: Как исключить применение GPO

Сегодня я расскажу каким способом я выхожу из ситуации когда нужно чтобы групповая политика (GPO) применялась на весь домен и всех пользователей (Authenticated Users), но в процессе работы возникает исключение, что вот для определенных аккаунтов домена все же лучше деактивировать ее.

На самом деле все просто, может и на первый взгляд задача выглядит сложно.

Рассмотрим на примере групповой политики GPO_Lock которую я опубликовал в заметке от 11.06.2017

Допустим нужно чтобы пользователю/группе пользователей (К примеру alektest) данная политика не применялась.

Делается это следующим образом. Авторизуемся (Login: ekzorchik) на домен контроллере (srv-dc.polygon.local) с правами Domain Admins. Далее открываю оснастку управления групповыми политиками:

Win + X → Control Panel — Administrative Tools — Group Policy Management, находим в текущем домене (в моем случае это polygon.local) → переходим на вкладку Delegation, потом в Advanced (Расширенные)… и добавляем либо пользователя, либо группу. Я добавляю пользователя alektest: Add… → alektest, нажимаю Check Names этим самым осуществляю проверки действительного наличия вводимого в домене. Когда проверка осуществлена успешно вводимое будет подчеркнуто:

Добавляю учетную запись в GPO для настройки расширенных параметровПосле нажимаю кнопку OK. Затем выделив добавленную запись во вкладке Security окна GPO_Lock Security Settings нужно опустить свой взор на подменю: Permissions for alektest и этим увидим какие права доступа присутствую у текущего пользователя/группы. По умолчанию выставлены права Read — это значит учетная запись при авторизации на компьютере считывает данную групповую политику и все что в ней предопределено применяем на рабочей станции. Так вот чтобы данная политика не применялась нужно в данном подменю просто поставить галочку у параметра: Apply group policy — DENY

Запрещаю применение GPO к этому пользователю/группе

См. Скриншот ниже для наглядного пониманию что и где нужно отметить галочкой.

Теперь после нажатия ApplyYesOk дополнения к GPO_Lock вступят в силу. Т.е. при совершении Logoff/Logon для пользователя alektest больше не будет применяться групповая политика GPO_Lock и ее также не будет видно в примененном вывода консольной утилиты gpresult /r.

Вот такими простыми действиями и решается данная задача. Как решать задачи? – ставить самим себе и разбивать их на маленькие шажки, как делаю это я.

На этом я прощаюсь и до новых встреч на моем блоге реальных заметок. С уважением Олло Александр aka ekzorchik.

От ekzorchik

Всем хорошего дня, меня зовут Александр. Я под ником - ekzorchik, являюсь автором всех написанных, разобранных заметок. Большинство вещей с которыми мне приходиться разбираться, как на работе, так и дома выложены на моем блоге в виде пошаговых инструкции. По сути блог - это шпаргалка онлайн. Каждая новая работа где мне случалось работать вносила новые знания и нюансы работы и соответственно я расписываю как сделать/решить ту или иную задачу. Это очень помогает. Когда сам разбираешь задачу, стараешься ее приподнести в виде структурированной заметки чтобы было все наглядно и просто, то процесс усвоения идет в гору. Также прошу на https://win.ekzorchik.ru https://lin.ekzorchik.ru https://net.ekzorchik.ru https://voip.ekzorchik.ru https;//home.ekzorchik.ru