GPO - можно ли заменить активированную политику ненастроенной?

Вы можете фильтровать компьютеры в определенном подразделении с помощью фильтров WMI. В консоли управления групповой политикой прокрутите вниз до Фильтры WMI и создайте новый фильтр WMI со следующими параметрами:

Пространство имен: root\RSOP\Computer

Запрос: Select * From RSOP_Session Where NOT SOM = 'OU=OrgUnit,DC=Domain,DC=com'

Убедитесь, что вы заменили OU = OrgUnit, DC = Domain, DC = com на OU, в котором находятся ваши серверы.

Затем выберите свой объект групповой политики и выберите новый фильтр в Фильтрация WMI падать.

Это отфильтрует применение этого GPO к серверам в OU, указанном в запросе.

Примечание: если серверы, которые вы хотите отфильтровать, не находятся в одном и том же подразделении, но находятся в дочерних подразделениях, вам необходимо изменить запрос следующим образом, чтобы включить все дочерние подразделения:

Select * From RSOP_Session Where NOT SOM LIKE '%OU=OrgUnit,DC=Domain,DC=com'

В общем случае невозможно переопределить групповую политику, но для брандмауэра Windows есть опция, которая позволит вам это сделать.

В настройках профиля (домен / частный / общедоступный) при слиянии правил есть опция «применять локальные правила межсетевого экрана». Он не позволяет изменять развернутые правила, но позволяет применять любые локальные изменения, которые необходимо внести.