Как не применять групповую политику к одному пользователю/компьютеру из группы
В каждой организации в которой парк компьютеров составляет 20 и более машин должен присутствовать контроллер домена, так как с его помощью намного проще управлять этой инфраструктурой, создавать пользователей, разграничивать права, подключать общие ресурсы, печатающие устройства, настраивать доступ к сетевым ресурсам и т.д. Все это реализуется по большей части с помощью групповых политик (GPO), которые могут применяться к пользователям, группа пользователей или компьютерам. Настраивать политики под конкретного пользователя можно но все это достаточно трудозатратно, поэтому многие создают группы, например, «Бухгалтерия», «Отдел кадров», «Экономисты», в которые добавляют пользователей/компьютеры и создают политики которые применяются к целей группе. Но бывают случаи когда необходимо сделать так чтобы политика которая настроена на группу не применялась к одному или нескольким пользователям/компьютерам состоящим в этой группе. Реализуется все это достаточно просто, в сегодняшней статьи расскажу как это сделать.
Исключить пользователя и/или компьютер от применения настроек групповой политики в Windows Server
Рассмотрим все это на простом примере, допустим есть домен с группой «Бухгалтерия» в которой есть несколько пользователей.
Так же есть групповая политика с помощью которой подключаются общие сетевые ресурсы, применяется она к группе «Бухгалтерия» соответственно и ко всем пользователям которые в ней состоят. По какой либо причине необходимо чтобы к одному пользователю из этой группе данная политика не применял, тут есть несколько вариантов, например пользователя можно убрать из этой группы, но это не совсем правильно, если по факту он является сотрудником «Бухгалтерии». Лучше изменить саму политику и исключить этого пользователя из неё, а вернее настроить её так чтобы она к нему просто не применялась.
Для этого в групповой политике нужно перейти во вкладку «Делегирования» и открыть пункт «Дополнительно» .
В открывшемся окне «Параметры безопасности» добавить нужного пользователя, в окне «Разрешения для группы» найти пункт «Применять групповую политику» и отметить пункт «Запретить» .
Сохранить настройки, теперь к данному пользователю политика применяться не будет хотя он и состоит в группе.
Таким же образом можно исключить компьютер или целые группы пользователей (в том случае если в группе есть подгруппы с пользователями), тут все будет зависеть от структуры.
