Создать исключение для ГПО на ОП с пользователями для определенных ПК
 

Здравствуйте!

Посоветуйте, пожалуйста, решение

Объект групповой политики связан с подразделением, пользователи этого ОП, входя удаленно на серверы, получают свои настройки среды в соответствии с ГПО.
Но потребовалось, чтобы на одном сервере эти политики не применялись совсем.
Я попробовал простой путь, указав во вкладке Делегирование этот сервер исключения, и в параметрах безопасности этого ГПО этому серверу запретил все - и читать, и исполнять эту политику. Система это позволила сделать, однако политики все равно применяются, когда пользователи входят на него.
В Фильтре безопасности серверы принимать отказывается - "Параметр задан неверно", не дает вписать компьютер среди перечисленных групп пользователей, хотя в описании к фильтру написано, что можно применять для пользователей, групп и компьютеров.


Понятно, что тут надо переделывать всю архитектуру объектов, возможно, надо в ОП указывать не пользователей, а именно серверы, не знаю, но в таком виде я это принял и кардинально переделывать пока нет возможности.

Подсказка, политики ПК и политики пользователей это две разные ипостаси и применяются они в разное время загрузки.

P.S. Так же выделил несуразность жирным шрифтом.
P.P.S. Почему не применяется групповая политика к компьютеру/пользователю или OU?

Для этого существуют фильтры в GPO.

Цитата NickM:
Для этого существуют фильтры в GPO. »
Спасибо за реакцию.
Создал фильтр в пространстве имен root/CIMv2
SELECT * FROM Win32_ComputerSystem WHERE Name = 'SERV7'
где SERV1 - один из ПК, на котором должна применяться политика, не должна применяться на SERV7. Не знаю пока синтаксис операции отрицания.
Применил к ОГП этот фильтр
Все равно политики конфигурации пользователя применяются на всех серверах. Видимо потому, что созданный фильтр (по имени ПК) фильтрует только настройки Конфигурации компьютера?

значит что политика:
В выше приведённой статье сказано, что бы не гадать:
+

после настройки, обновите групповые политики на целевом сервере, постройте результирующую политику и убедитесь в корректности работы фильтра и решении вопроса.

Сервер находится в ОП1, к которому применена ГП1
Пользователь находится в несвязанном с ОП1 подразделении ОП2

Настроим в редакторе ГП1 параметры в разделе "Конфигурация компьютера" -
при входе пользователя в систему на нем политика срабатывает.

Уберем эти настройки и настроим их уже в "Конфигурация пользователя" -
при входе в систему политика не применяется

Включим в "Конфигурации компьютера" режим обработки замыкания пользовательской политики (как в режиме замены, так и в режиме слияния)
-при входе в систему политика снова не применяется.

А нужно чтобы применялась - и только на серверы подразделения ОП1

Размещать пользователя в ОП1 нельзя, так как нужно, чтобы наши настройки применялись только при входе пользователя на данный - и только данный (или все серверы ОП1) - сервер.

например, настройки, связанные с переменной имени пользователя можно сделать только в Конфигурации пользователя", то же перенаправление папок. Но перенаправляться они должны только на ферме, расположенной в ОП1.

СТОП! Я проворонил фильтры безопасности!
Замыкание политики пользователя - решение!