Active Directory GPO, исключая пользователей

310
p.zaba

Я хочу установить правило для всех пользователей в домене. Правило включает экранную заставку через 15 минут, а затем пользователь должен использовать пароль для повторного входа в систему.

Все работает, но мне нужно исключить одного пользователя, который принадлежит к этой группе. Как я могу это сделать?

0

2 ответа на вопрос

1
Elie

Вам нужно создать группу и добавить в нее всех пользователей, к которым вы хотите применить политику, и исключить этого пользователя из этой группы (не добавляйте его в группу), а затем применить эту политику к созданной вами группе. который содержит всех пользователей, которых вы добавили в эту группу, удалив аутентифицированных пользователей и заменив их созданной вами группой.

0
TOOGAM

Ответ user673956 - рекомендуемый маршрут. Добавляйте только тех пользователей, к которым вы хотите применить политику.

Есть другой подход. Вы можете применить политику к людям, но затем изменить разрешения политики, чтобы запретить доступ определенному человеку (или группе, или учетной записи компьютера). MS KB 816100 предоставляет пошаговые инструкции.

Существует ключевая причина, по которой подход из ответа пользователя user673956 является предпочтительным. Разрешения «Запретить» имеют более высокий приоритет, переопределение разрешений разрешений. Если вы добавите разрешение на запрещение, нет разрешения с более высоким приоритетом для отмены запрета. Например, если вы получите больше пользователей, к которым вы не хотите применять политику, и поместите их в группу, а также запретите доступ к группе, то не будет простого способа дать другое разрешение переопределить политику только для одного пользователя. участник группы.

Как правило, если вы потратите время, чтобы применить политику только к тем людям, к которым вы хотите ее применить, вы не окажетесь в ловушке нежелательного эффекта без простого и простого способа исправить ситуацию. эта проблема. Тщательное применение политики только к тем, к кому вы хотите ее применить, может занять больше времени в краткосрочной перспективе, но в итоге вы сможете работать хорошо.

(Поскольку я обсуждаю то, что является предпочтительным, я основываю большую часть этого обсуждения на некотором обучении, которое я получил, включая публикацию, выпущенную Microsoft. Это было, вероятно, официальное руководство, связанное с Windows Server 2003.)

Я думаю, что, теоретически, этот подход также ускоряет процесс, потому что компьютеру конечного пользователя не нужно пытаться захватить политику, просто чтобы узнать, что она не должна применяться в любом случае.

Однако отказ в разрешениях для конкретной политики может быть быстрее реализован, особенно для одного пользователя в небольшой сети. Так что если вы действительно думаете, что хотите пойти по этому пути, это определенно вариант, который доступен. Это вариант, который Microsoft преподает в некоторых официальных учебных материалах, так что продолжайте и (осторожно решайте) использовать этот вариант, если вы решите, что именно для вас это лучше всего подходит.

Дополнительный комментарий: [Блог Бранко Вучинца: «Как исключить объект групповой политики (GPO) для пользователей или группы безопасности»] (https://blog.brankovucinec.com/2015/07/17/how-to-exclude- a-group-policy-object-gpo-to-users-or-a-security-group /) также предоставляет пошаговые инструкции вместе со скриншотами, если вы находите такие картинки более красивыми. Я подозреваю, что между различными версиями Windows Server могут быть незначительные различия, но в вопросе не указано, какую версию, поэтому, надеюсь, предоставленных ссылок достаточно, чтобы привести вас к успеху. TOOGAM 7 лет назад 0

Похожие вопросы