Я создал тестовый домен и создал объект групповой политики, который ограничивает доступ для записи ко всем съемным носителям, и применил его к корневому подразделению, в котором будут находиться все мои пользователи. Однако я знаю, что некоторым людям в конечном итоге потребуется писать на USB-накопители и т. Д. (В основном, руководители и ИТ-специалисты).
Попытка выяснить, как это сделать с группой безопасности, поэтому, если пользователь является частью определенной группы безопасности, этот конкретный объект групповой политики не будет применяться
Является ли GPO настройкой компьютера или пользователя?
Если установлен параметр «Компьютер», вы можете использовать группу безопасности, содержащую учетные записи компьютеров в качестве членов, и добавлять только те компьютеры, к которым вы хотите применить политику, в качестве членов группы. Затем отфильтруйте объект групповой политики, чтобы применить его только к этой группе безопасности.
Если установлен параметр «Пользователь», вы можете использовать группу безопасности, которая содержит учетные записи пользователей в качестве членов, и добавлять только тех пользователей, к которым вы хотите применить политику, в качестве членов группы. Затем отфильтруйте объект групповой политики, чтобы применить его только к этой группе безопасности.
Вы также можете сделать обратное и использовать группу безопасности, чтобы запретить групповую политику группе компьютеров или пользователей.