Назад | Перейти на главную страницу

Исключения из групповой политики с использованием фильтров

Я установил политику для принудительного применения заставки с блокировкой после 7 минут запроса пароля. Я обнаружил, что есть несколько машин в качестве исключения. Я сделал другую политику, чтобы отключить заставку для устройств, которые являются частью определенной группы. Я установил возвратную петлю также потому, что политика заставки находится в политике группы пользователей, но я хочу, чтобы она применялась для каждого компьютера. Поэтому, используя фильтрацию, я сделал так, чтобы групповая политика применялась ко всем пользователям, кроме тех, кто находится на одной из "освобожденных" машин. Я запускаю gpresult на компьютере, и к нему применяются правильные политики, однако сначала применяется политика для получения заставки, которая затем предотвращает запуск отключенного параметра для заставки. Есть ли способ разрешить выполнение политики компьютера перед политикой пользователя? если да, то как и есть ли лучший способ сделать это?

Более аккуратный способ сделать это - применить политику заставки только к машинам, на которых она должна быть. Это лучше, чем применять политику ко всему, а затем пытаться отменить некоторые из них.

Вы можете сделать это, отфильтровав GPO по группе безопасности (например, Заставка включена), а затем сделав все машины, на которых должна быть включена GPO заставки, членом Заставка включена группа.


редактировать

С таким небольшим количеством объектов, не требующих GPO, создайте группу безопасности под названием Заставка отключена, сделайте целевые компьютеры членом этой группы, отредактируйте безопасность GPO Screensaver, добавьте группу Заставка отключена, и выберите Отрицать для Применить групповую политику разрешение.

То, что говорит Иззи, нормально, если вам нужна только компьютерная политика. То, что вы ищете, - это обработка групповой политики loopback.

Параметры политики, связанные с заставкой, являются параметрами политики пользователя, поэтому вам необходимо включить обработку групповой политики обратной петли (Параметры компьютера - Административные шаблоны - Система - Групповая политика - Режим обработки обратной связи групповой политики пользователя) для режима «Объединение» (чтобы разрешить существующие параметры пользователя. для продолжения применения) в новом или существующем объекте групповой политики, который уже применяется к компьютерам, которым требуется «исключение» из универсальных настроек заставки. Если вы хотите, чтобы это «исключение» применялось только к подмножеству компьютеров в рамках подразделения, к которому привязан объект групповой политики, создайте группу безопасности, содержащую эти компьютеры, добавьте ее с разрешением «Чтение» и «Применить групповую политику» к объекту групповой политики, содержащему Эта обработка групповой политики loopback, удалите «Прошедшие проверку пользователи» из разрешения и добавьте «Пользователи домена» (подробнее ниже) с разрешениями «Чтение» и «Применить групповую политику», если необходимо.

Как только вы это сделаете, вам нужно будет установить необходимые параметры политики, чтобы «отключить» настройки заставки. Это пользовательские настройки, и вы можете поместить их в тот же объект групповой политики, где вы включили обработку групповой политики loopback. Если вы используете тот же объект групповой политики, который задает параметр обработки групповой политики замыкания на себя и вы отфильтровали приложение этого объекта групповой политики в группу безопасности, обязательно добавьте «Пользователи домена» с разрешениями «Чтение» и «Применить групповую политику» к этому объекту групповой политики, поскольку фактическое применение параметров пользователя происходит в контексте зарегистрированного - на пользователя, а не на компьютер.

Перезагрузите один из «освобожденных» компьютеров и попробуйте его.

Когда эти «освобожденные» компьютеры загружаются, они применяют объект групповой политики, который включает обработку групповой политики обратной петли в «режиме слияния». По сути, это означает, что после применения всех обычных пользовательских настроек GPO выполняется второй проход по домену, ищущий GPO, которые содержат пользовательские настройки, но которые применяются к компьютер расположение объекта в каталоге (подумайте о «режиме слияния» обработки политики обратной связи как о «волшебном» помещении копии объекта пользователя в тот же контейнер, что и компьютер во время входа в систему, тем самым передавая пользователю любые пользовательские настройки в объектах групповой политики над компьютером, слишком).

Скорее всего, вы еще не используете обработку групповой политики loopback, поэтому этот очень простой метод, который я описал выше, будет работать нормально. Если вы уже используете обработку GPO с обратной связью, тогда фильтрация по группе безопасности для «освобожденных» компьютеров становится проблематичной (и помимо того, что я хочу описать в этом ответе). Если вы уже там, вы уже должны знать, как делать то, что пытаетесь сделать ...> улыбка <

Очевидно, я бы порекомендовал ознакомиться с обработкой групповой политики замыкания на себя и запустить несколько тестов на рабочем компьютере в тестовом подразделении, прежде чем делать это на производственных компьютерах / подразделениях. Это один из тех случаев, когда понимание алгоритма, который использует клиент групповой политики для выбора политик, применяемых к пользователю / компьютеру, а не просто использование таких инструментов, как «режим планирования» GPMC, является огромной победой. Я бы направил вас к статье от Microsoft, но у них нет ничего, что не было бы отстойным (то есть говорит о «приоритете» объектов групповой политики и других подобных глупостях, а не просто подробно объясняет алгоритм ...> вздох < ).

Когда-нибудь (НЕ сегодня, Кайл! У меня сегодня нет времени ...) Напишу описание алгоритма Server Fault.