Вам нужно создать группу и добавить в нее всех пользователей, к которым вы хотите применить политику, и исключить этого пользователя из этой группы (не добавляйте его в группу), а затем применить эту политику к созданной вами группе. который содержит всех пользователей, которых вы добавили в эту группу, удалив аутентифицированных пользователей и заменив их созданной вами группой.
Active Directory GPO, исключая пользователей
Я хочу установить правило для всех пользователей в домене. Правило включает экранную заставку через 15 минут, а затем пользователь должен использовать пароль для повторного входа в систему.
Все работает, но мне нужно исключить одного пользователя, который принадлежит к этой группе. Как я могу это сделать?
2 ответа на вопрос
Ответ user673956 - рекомендуемый маршрут. Добавляйте только тех пользователей, к которым вы хотите применить политику.
Есть другой подход. Вы можете применить политику к людям, но затем изменить разрешения политики, чтобы запретить доступ определенному человеку (или группе, или учетной записи компьютера). MS KB 816100 предоставляет пошаговые инструкции.
Существует ключевая причина, по которой подход из ответа пользователя user673956 является предпочтительным. Разрешения «Запретить» имеют более высокий приоритет, переопределение разрешений разрешений. Если вы добавите разрешение на запрещение, нет разрешения с более высоким приоритетом для отмены запрета. Например, если вы получите больше пользователей, к которым вы не хотите применять политику, и поместите их в группу, а также запретите доступ к группе, то не будет простого способа дать другое разрешение переопределить политику только для одного пользователя. участник группы.
Как правило, если вы потратите время, чтобы применить политику только к тем людям, к которым вы хотите ее применить, вы не окажетесь в ловушке нежелательного эффекта без простого и простого способа исправить ситуацию. эта проблема. Тщательное применение политики только к тем, к кому вы хотите ее применить, может занять больше времени в краткосрочной перспективе, но в итоге вы сможете работать хорошо.
(Поскольку я обсуждаю то, что является предпочтительным, я основываю большую часть этого обсуждения на некотором обучении, которое я получил, включая публикацию, выпущенную Microsoft. Это было, вероятно, официальное руководство, связанное с Windows Server 2003.)
Я думаю, что, теоретически, этот подход также ускоряет процесс, потому что компьютеру конечного пользователя не нужно пытаться захватить политику, просто чтобы узнать, что она не должна применяться в любом случае.
Однако отказ в разрешениях для конкретной политики может быть быстрее реализован, особенно для одного пользователя в небольшой сети. Так что если вы действительно думаете, что хотите пойти по этому пути, это определенно вариант, который доступен. Это вариант, который Microsoft преподает в некоторых официальных учебных материалах, так что продолжайте и (осторожно решайте) использовать этот вариант, если вы решите, что именно для вас это лучше всего подходит.
Похожие вопросы
-
6
Linux username @ server исчезает после входа в систему как root
-
2
Как применить согласованные настройки приложения (например, Itunes) в моем домашнем домене?
-
2
Центр обновления Windows Vista работает на домене
-
-
3
Как включить автоматический вход в Windows 7, когда я нахожусь в домене?
-
4
Как заставить Firefox вести себя как IE в домене Windows при запросе учетных данных пользователя
-
4
Временно войдите в другой домен Windows
-
4
Какое решение для совместной базы данных лучше всего соответствует этим требованиям?
-
1
Редактор групповой политики Vista через запуск "gpedit.msc" не найден
-
2
Альтернатива gpedit.msc для выпусков Windows Home?
-
1
В Vista или Win7, когда ПК подключен к домену, если я меняю свою фотографию пользователя, это изобра...