Существует несколько методов предотвращения применения настроек объекта групповой политики (GPO) к определённым пользователям и/или компьютерам в Active Directory:
- Применение фильтрации безопасности GPO, чтобы определить, какие объекты AD будут подчиняться данной политике. Это один из наиболее удобных и понятных способов.
- Использование фильтров WMI для ограничения области действия GPO. Подходит для более специфичных случаев.
- Создание исключений на уровне элементов в GPP, что позволяет управлять отдельными настройками на уровне элементов.
Рассмотрим пример: необходимо заблокировать применение политики, которая настраивает параметры Центра обновления Windows, для конкретного компьютера. Предположим, все устройства находятся в организационной единице (OU) «Workstations», и на неё назначена политика «gpo_WSUS_workstations«.
Пошаговый алгоритм:
- Создайте в Active Directory отдельную группу безопасности, например, «gpo_WSUS_workstations_excl«, и включите в неё учётные записи пользователей или компьютеров, которые нужно исключить.
- В консоли управления групповой политикой (GPMC) откройте соответствующий объект групповой политики (
gpmc.msc). - Перейдите на вкладку «Делегирование» и нажмите «Добавить«. Укажите имя объекта (группы, пользователя или компьютера), для которого требуется исключить политику.
- Нажмите «Дополнительно» и установите разрешение «Запретить» на применение политики.
Это предотвратит применение этих параметров групповой политики к любым объектам AD в указанной группе.
Обновите настройки GPO на клиенте (для этого рекомендуется перезагрузить устройство). Убедитесь, что политика исключена, выполнив команду:
gpresult /r
- В отчёте будет указано, что политика не была применена из-за настроек безопасности.
Если требуется автоматизировать процесс исключения на основе определённых условий, можно воспользоваться динамическими группами AD или фильтрами WMI. Пример WQL-запроса для исключения компьютеров с ключевым словом «adm» в имени:
SELECT * FROM Win32_ComputerSystem WHERE NOT (Name LIKE '%adm%')Создайте такой фильтр WMI в консоли GPMC и свяжите его с нужным объектом групповой политики.
Теперь каждый компьютер будет проверять запрос WMI при запуске, и если он не совпадает, политика не будет применена.
Для исключений в настройках GPP можно использовать «Нацеливание на уровне элементов». На вкладке «Common» включите эту опцию и настройте соответствующие правила (например, IS-NOT). Это позволит точно определить условия, при которых параметры GPO будут исключены для заданных объектов.
