Фильтр применения политики
 

Доброго дня, что то уже совсем туго стала голова соображать, подскажите... как настроить распространение GPO на группу пользователей, но только при логине на определенную группу компьютеров....

т.е. нужно ограничить к примеру доступ к флэшкам группе "студенты" на компьютерах администрации, но оставить открытыми в определённых кабинетах.

Ну если в определнных кабинетах тебе нужно оставить флешки всем пользователям, то "Loopback Processing Mode" значение "Replace". Задается Computer Configuration\Administrative Templates\System\Group Pulicy\User Group pulicy loopback processing mode — Replace или Merge.

как закрыть флэшки я знаю, охота применить еще много политик, вопрос как сделать фильтр, чтобы политика "на пользователя" применялась только на определенных компьютерах.

Использовать WMI фильтр.

А разве не параметр "Нацеливание" (в русской версии) за это отвечает ? У меня стоит нацеливание на определенное подразделение и работает. Я недавно тему насчет дефолтной политики открывал и решил именно политикой на персональное подразделение.

а если компы в группу загнать, и в фильтре указать только её и группу студенты?

А про WMI и Нацеливание можно поподробней? Нацеливание вроде работает только в отдельных элементах ГПО?



А не важно что стоит в фильтрах группа компьютеров или пользователей, политики всё равно применятся отдельно на компьютер и отдельно на пользователя.... откройте любую GPO и там увидите разделы "конфигурация пользователя" и "конфигурация компьютера" они соответственно и применяются для объектов пользователь и компьютер

Хммм) а если в параметре политики указать: применять только для пользователя и применить эту политику для определенной группы пользователей? Т.е найти определенную политику в Object Group Policy и правой клавишей запретить применение параметра для компьютера.?

вообще-то важно.
Пример:
политика 1 действует с фильтром на пользователя Вася.
политика 2 действует с фильтром на компьютер 1.

Вася зашёл на компьютер 1 - применились две политики.
Вася зашёл на компьютер 2 - применилась только политика 1, т.к. политика 2 на него не действует.

exo, да, это верно, но я не про то.... в GPO явно разделены политики применяемые на компьютер и на пользователя, и они совсем не одинаковые, политику которая применяется на пользователя можно настроить намного гибче, вплоть до того где какая кнопка в эксплорере и цвета обой, в политиках же распространяемых "на компьютер" такого не настроишь, вот мне и нужно применить политику "на пользователя" но только на определенных компьютерах.

так а я о чём? настраиваете раздел "пользователи", а в фильтрах указываете на какие компьютеры это действует.

далее, вам нужно разрешить эти запреты определённым пользователям:
создаёте политику перезаписывающее разрешения, и в фильтрах указываете пользователей.

что получается.
первая политика будет действовать всегда на указанных в фильтре компьютерах.
Но если на них зайдут пользователи из фильтра второй политики - то вторая политика перепропишет настройки.

Пример:
выключаете в Пуске кнопку "выключить" для компьютеров из группы "comp_no_shutdown"
На этих компьютерах всегда будет выключена эта кнопка.
Когда заходят пользователи из группы "yes_shutdown", то им переназначается право на наличие этой кнопки.