Я ищу блокирующие USB-устройства на нашем сервере Win 2008R2 SP1. Мне уже известно о политике GPO "\ User Configuration \ Policies \ Administrative Templates \ System \ Removable Storage Access", и здесь она отлично работает.
Только есть несколько проблем, как показано ниже.
1: Я хочу исключить определенных пользователей / группы из этой политики.
2: Все остальные правила / политики в исходной «политике контроллера домена по умолчанию» должны применяться ко всем, например, политики PW, политики WSUS и т. Д.
Спасибо, Сандеш
Настройте желаемые параметры в новом объекте групповой политики.
Создайте группу безопасности для пользователей, к которым вы хотите применять политику.
Добавьте соответствующих пользователей в эту группу безопасности.
Настройте фильтрацию безопасности в новом объекте групповой политики для применения только к этой группе безопасности.
Свяжите OU с местом, где находятся пользовательские объекты (либо на уровне домена, либо на уровне OU, если у вас есть пользователи в OU).
ИМО, самый простой способ исключить пользователей - использовать расширенную кнопку на вкладке делегирования объекта групповой политики. Добавьте пользователя / группу, которую вы хотите исключить, и установите флажок, чтобы запретить им все права на политику. Поскольку утверждения deny имеют приоритет над allow, это будет работать для исключения определенных пользователей / групп, даже если они являются членами группы (например, «Прошедшие проверку»), которая имеет права на GPO.