Один з найпоширеніших питань про групових політиках, який часто спливає на спеціалізованих форумах і в дискусіях системних адміністраторів: яким чином можна виключити користувача і / або комп’ютер від застосування налаштувань групової політики (Group Policy). Існує кілька способів, що дозволяють заборонити застосування політики до конкретного об’єкта домену Active Directory, однак для себе я вибрав і використовую лише одну методику. В принципі це досить проста процедура, але слід зазначити, що потрібно користуватися їй уважно, краще через членство в групі (ви включаєте в групу AD тих користувачів і комп’ютери, до яких не повинна застосовуватися політика).

1. Відкрийте консоль управління політиками (Group Policy Management Console – gpmc.msc) І знайдіть в ній ту політику, в якій ви хочете зробити виключення, перейдіть на вкладку делегування ( “Delegation”) і натисніть кнопку “Advanced”.

опис: зображення

2. Натисніть кнопку “Add” і виберіть групу (рекомендується використовувати саме групу, а не конкретного користувача або комп’ютер), яку ви хочете виключити з-під дії групової політики.

опис: зображення

3. В даному прикладі я виключу групу “Users GPO Exceptions”. Вкажіть ім’я групи і в розділі дозволів для “Apply Group Policy” вкажіть “Deny”.

опис: зображення

Тепер до членів групи “User GPO Exceptions” припиняє застосовуватися групова політика. Використання групи безпеки для контролю винятків з групової політики – є оптимальним рішенням, адже щоб заблокувати застосування політики, потрібно просто додати потрібного користувача або комп’ютер в групу. Крім того, це зручно для служб техпідтримки, які самостійно можуть діагностувати роботу винятків з групової політики, просто переглянувши склад цієї групи.

Leave a Reply

Your email address will not be published. Required fields are marked *