Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Системное администрирование и сети

Блокировать применение групповой политики для конкретных компьютеров, на которых разрешены пользователи.

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. 1. Понимание применения групповой политики
  4. 2. Применение настроек политики для компьютеров
  5. 3. Создание группы для компьютеров
  6. 4. Проверка с помощью GPRESULT
  7. 5. Дополнительные шаги
  8. Заключение

Вопрос или проблема

Я уже видел, что этот вопрос задавался раньше, но не в таком виде.

У нас есть групповая политика, настроенная для пользователей, которая применяется в OU. Эта политика имеет установленный фильтр безопасности, чтобы позволять ее действие только для пользователей определенной группы безопасности. Пока что это работает именно так, как и ожидалось.

Теперь, в совершенно другом OU, где эта политика не применяется, она все равно применяется. Я предполагаю, что это происходит потому, что пользователь, вошедший в систему на этом ПК, является членом другой OU, и поэтому они все равно получают эту политику.

Я думал, что смогу создать другую группу, содержащую ПК, к которым я не хочу, чтобы эта политика применялась, а затем поместить это в вкладку делегирования и запретить применение политики для этих компьютеров. Но когда я выполняю команду GPRESULT, она показывает, что политика была отклонена для настроек компьютера, но показывает, что она применена к настройкам пользователя.

Есть ли способ добиться того, что я хочу?

Я хочу применить политику к конкретным пользователям на каждом компьютере, к которому они подключаются, кроме конкретной группы.

Ответ или решение

Для решения задачи блокировки применения групповой политики для конкретных компьютеров, где пользователи имеют разрешение, необходимо учесть несколько ключевых аспектов работы групповых политик в Active Directory. Давайте рассмотрим это с разных сторон.

1. Понимание применения групповой политики

Групповая политика (Group Policy) может быть применена на уровне организационных единиц (OU), и она разделяется на настройки для пользователей и компьютеров. В вашем случае, уже настроена политика, которая применяется только к пользователям из определенной группы безопасности, что является корректным подходом. Однако возникает проблема, когда эта политика все еще применяется к пользователям в другой OU на компьютерах, в которых вы не хотите ее применять. Это происходит потому, что политика применяется на уровне пользователя, а не на уровне компьютера.

2. Применение настроек политики для компьютеров

Важно понимать, что есть два уровня применения групповой политики: для пользователей и для компьютеров. Когда вы настраиваете фильтрацию безопасности для политики, вы ограничиваете ее применение для определенных пользователей, но при этом необходимо также контролировать ее влияние на уровень компьютеров.

3. Создание группы для компьютеров

Вы правильно подумали о создании группы, содержащей компьютеры, для которых вы не хотите применять политику. Однако, для успешного блокирования отображения данной политики на уровне пользователя вам необходимо выполнить несколько дополнительных шагов:

  • Создание группы безопасности для компьютеров. Создайте новую группу безопасности, скажем, "BlockPoliciesComputers", и добавьте в нее все компьютеры, на которые вы не хотите, чтобы политика повлияла.

  • Настройка делегирования в Group Policy Management. Войдите в Group Policy Management, выберите нужную политику, перейдите в "Delegation" и добавьте вашу новую группу "BlockPoliciesComputers". Убедитесь, что вы предоставили прав доступа "Deny Apply Group Policy". Это должно заблокировать применение групповой политики на уровне компьютера.

4. Проверка с помощью GPRESULT

После настройки вы можете использовать команду gpresult /h report.html для создания HTML-отчета о примененных групповых политиках на компьютере, где есть проблема. Обратите внимание, что в отчете должны отображаться изменения и новая информация о применении или блокировке политики.

5. Дополнительные шаги

  • Включение фильтрации на уровне пользователя. Убедитесь, что в вашем основном OU, где применяется политика, фильтрация настроена правильно и пользователи, которых вы хотите исключить, не входят в соответствующие группы.

  • Очистка кэша групповой политики. Иногда могут возникать кэшированные данные политик, которые мешают правильно отобразить изменения. Убедитесь, что вы сбрасываете кэш политик с помощью команды gpupdate /force на целевых компьютерах.

  • Логирование и аудит. Не забудьте включить аудит для операций с групповой политикой, чтобы отслеживать, какие политики применяются и почему.

Заключение

Таким образом, для блокировки групповой политики для конкретных компьютеров, даже если пользователи имеют доступ, вам следует применять описанные выше шаги. Это обеспечит гибкость применения политик согласно вашим бизнес-требованиям, сохраняя при этом локальные настройки и контроль.

group-policy
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности