У меня есть пользователь (скажем, domain.local\admin) в моем домене.
vpn.domain.local в группе Servers Я хочу применить политику.laptop.domain.local в группе Destop Computers Я хочу либо не применять эту политику, либо применить ее с противоположным значением.Является ли это возможным?
Я не понимаю, что вы имеете в виду, применяя opposite политики, но похоже, что вы хотите применить другой набор параметров конфигурации пользователя, когда этот пользователь входит в систему на определенном компьютере. В этом случае вам нужно изучить обработку политики обратной связи групповой политики, которая позволит вам сделать именно это.
http://blogs.technet.com/b/askds/archive/2013/02/08/circle-back-to-loopback.aspx
Да, это возможно.
У вас два компьютера. Мы позвоним им A и B. Вам также понадобятся две разные организационные единицы. Мы позвоним им X и Y. Наконец, вам нужны две разные политики. Мы позвоним им J и K.
Чтобы это сработало, примените политику J к компьютеры (не пользователи) в OU X, и политика K к компьютерам в OU Y. Поставить компьютер A в OU X и компьютер B в OU Y. Теперь отредактируйте свои политики и используйте Таргетинг на уровень предмета чтобы ограничить применение политики только тогда, когда желаемый пользователь вошел в систему или когда пользователь с целевой группой Active Directory вошел в систему.