AD - груповая политика - как изолировать отдельные ноуты от применения?

[garett]

Коллеги, добрый вечер! Посоветоваться хотел - есть дефолтовая групповая политика домена, там на уровне пользователя некоторые вещи настроены (создание папки на целевой рабочей станции, копирование файлов и прочее). Ну то есть как только новый ноут присоединяется к домену, сотрудник автоматически получает ярлыки на нужные ресурсы на рабочем столе. Возникла необходимость исключить несколько рабочих станций из этой политики - вот не могу сообразить, как это правильно сделать. Можно было бы, наверное, создать новый OU, запихнуть туда нужные станции и применить к ним отдельную политику со всеми этими параметрами, а из дефолтовой параметры, соответственно, убрать. Но тогда нужно следить за списком таких рабочих станций, каждый раз добавлять/удалять из списка. Напрашивается оставить все в дефолтовой политике, но в отдельный OU загнать именно те ноуты, на которых НЕ нужно применять политику. Смотрел в сторону Group Policy Loopback Processing (на уровне компьютера как раз) - там есть варианты Replace и Merge. Как мне все это скомпоновать, чтобы параметры пользователя сравнивались с той или иной рабочей станцией и не применялись, если такая станция есть в OU? Был бы весьма признателен за помощь 

[Retif]

есть дефолтовая групповая политика домена, там на уровне пользователя некоторые вещи настроены (создание папки на целевой рабочей станции, копирование файлов и прочее)

Изначально неправильно сделано. Дефолтовую политику не надо трогать, нужно отдельную создавать и не на весь домен (ну, только если понимаешь, зачем ты это делаешь), а на контейнер вешать.

Но тогда нужно следить за списком таких рабочих станций, каждый раз добавлять/удалять из списка.

В смысле, списко зачем? Если политику вешаете на контейнер, политику применяется ко всем объектам контейнера. Просто помещаете нужный комп в контейнер.

Напрашивается оставить все в дефолтовой политике, но в отдельный OU загнать именно те ноуты, на которых НЕ нужно применять политику.

Тоже можно. Можно Security Filtering в политике использовать для исключений, но тут опять же нужно компы в какую-то группу добавлять.

Смотрел в сторону Group Policy Loopback Processing (на уровне компьютера как раз) - там есть варианты Replace и Merge. Как мне все это скомпоновать, чтобы параметры пользователя сравнивались с той или иной рабочей станцией и не применялись, если такая станция есть в OU?

Обычно Merge использовается, для того, чтобы применить параметры пользователя на всех пользователей компьютера, подпадающего под политику. Вернее даже не на политику, а Group Policy Loopback Processing действует на все политики контейнера, насколько я помню, даже если там всего одна политика с Group Policy Loopback Processing.

[garett]

Можно Security Filtering в политике использовать для исключений, но тут опять же нужно компы в какую-то группу добавлять.

А вот это не пробовал - можете чуть подробнее? 

[Retif]

А вот это не пробовал - можете чуть подробнее? 

Гуглите "group policy security filtering", вроде много всего. Вот, первоисточник, там вообще все ваши вопросы: https://learn.microsoft.com/ru-ru/windows-server/identity/ad-ds/manage/group-policy/group-policy-processing#group-policy-filtering

Updated: 04 April 2025, 21:13:19
WMI-фильтры опять же можно использовать.

[garett]

Решил поиграться на тестовой ВМ - собрал на базе Windows 11 Pro (с активацией), вогнал в домен, но групповая политика почему-то не применяется, с таким еще не сталкивался. Если попытаться выполнить rsop.msc, появляется вот такое предупреждение:
"Ошибка групповой политики - Уже выполняются другие приложения RSoP, обрабатывающие запрашиваемую вами информацию." Хотя gpupdate /force отрабатывает без ошибок, и эту рабочую станцию я вижу в Active Directory. Что это может быть?