Det er flere måter å forhindre at visse innstillinger for gruppepolicyobjekt (GPO) brukes på spesifikke brukere og/eller datamaskiner i Active Directory:
- BrukGPO-sikkerhetsfiltreringfor å kontrollere hvilke AD-objekter som kan bruke policyen (det enkleste og mest praktiske alternativet)
- Filtrering av omfanget av GPO ved hjelp avWMI-filtre
- Målretting på varenivåunntak i gruppepolicy. Dette gjelder bare for GPO-innstillinger som er konfigurert gjennom gruppepolicyinnstillinger.
La oss vurdere et scenario der du må forhindre at en gruppepolicy som konfigurerer Windows Update-innstillinger gjelder for en bestemt datamaskin. I dette eksemplet er alle datamaskiner plassert i en OU kalt Workstations, som gpo_WSUS_workstations GPO er tildelt.
Opprett først en egen sikkerhetsgruppe i AD (gpo_WSUS_workstations_excl) og legg til datamaskinene eller brukerkontoene du vil ekskludere fra gruppepolicyobjektomfanget.
- Åpne konsollen for administrering av domener for gruppepolicy (
gpmc.msc) - Velg ønsket GPO, gå tilDelegasjonfanen, og klikk påLegge tilknapp.
- Som standard gjelder GPO for alle AD-objekter (Autentiserte brukere-gruppen)
- Skriv inn navnet på gruppen, brukeren eller datamaskinen du vil ekskludere fra gruppepolicyen
- Klikk påAvansertknappen og still innBenektetilBruk gruppepolicytillatelse
- Dette vil forhindre at disse gruppepolicyinnstillingene brukes på noen av AD-objektene i den angitte gruppen. Avslå tillatelser har forrang over tillatelser. Derfor, selv om gruppen Autentiserte brukere har tillatelse til å bruke policyen, har avvisningstillatelsen høyere prioritet.
Oppdater GPO-innstillingene på klienten (start helst datamaskinen på nytt for å oppdatere AD-gruppemedlemskap). Deretter åpner du en ledetekst og generer en rapport over de brukte GPOene ved å kjøre følgende kommando:
gpresult /r
Denne rapporten viser at WSUS-policyen ikke ble brukt på denne datamaskinen fordi sikkerhetsinnstillingene hindrer den:
The following GPOs were not applied because they were filtered out WSUS_workstations Filtering: Denied (Security)
For å legge til en annen datamaskin til ekskluderingene av denne GPOen, legg ganske enkelt til kontoen til dengpo_WSUS_workstations_exclgruppe og start datamaskinen på nytt.
Ulempen med denne metoden for å lage unntak for GPO er at administratoren manuelt må legge til eller fjerne brukere/datamaskiner fra gruppen som må ekskluderes fra policyen. Hvis du vil at brukere eller datamaskiner automatisk skal legges til/fjernes fra policyomfanget basert på noen dynamiske attributter, kan du bruke AD dynamiske grupper-konseptet eller WMI GPO-filtrene.
Ideen bak et WMI-filter er å lage en WQL-spørring for å definere hvilke objekter policyen gjelder for. Det kan for eksempel hende du vil at policyen skal ekskludere datamaskiner med søkeordet 'adm' i vertsnavnet deres. Dette kan oppnås ved å bruke følgende WMI-spørring:
SELECT * FROM Win32_ComputerSystem WHERE NOT (Name LIKE '%adm%')
Opprett dette WMI-filteret i GPMC-konsollen og koble det til GPO.
Nå vil hver datamaskin sjekke WMI-spørringen ved oppstart, og hvis den ikke stemmer overens, vil ikke policyen bli brukt.
Det er en annen måte å opprette unntak for bestemte brukere og datamaskiner i GPO. Hvis du bruker GPO-innstillinger som er plassert i Group Policy Preferences (GPP)-delen, kan du gjøre policy-unntak ved å bruke varenivåmålretting.
Les også:Slik ser du gruppepolicy brukt på Windows 10-brukeren din
I innstillingene til et GPP-element på Felles-fanen må du aktivereMålretting på varenivåog konfigurereIS-NOTregler for å definere unntak for bruk av denne GPO-parameteren. I dette eksemplet har vi konfigurert GPP-unntak for en spesifikk AD-gruppe og datamaskin.
