Исключения групповой политики с использованием фильтров
Я установил политику принудительной заставки с блокировкой через 7 минут, запрашивая пароль. Я обнаружил, что есть несколько машин в качестве исключения. Я сделал другую политику, чтобы отключить заставку для устройств, которые являются частью определенной группы. Я установил петлю и потому, что политика хранителя экрана основана на групповой политике пользователя, но я хочу, чтобы она применялась для каждого компьютера отдельно. Поэтому, используя фильтрацию, я сделал так, чтобы групповая политика применялась ко всем пользователям, кроме случаев, когда вы находитесь на одной из "освобожденных" машин. Я запускаю gpresult на компьютере, и он применяет правильные политики, однако сначала применяется политика получения заставки, которая затем запрещает запуск отключенной настройки заставки. Есть ли способ разрешить запуск политики компьютера перед политикой пользователя? если так, как и есть ли лучший способ сделать это?
2 ответа
То, что Иззи говорит, хорошо, если вам нужна только компьютерная политика. То, что вы ищете, это обработка групповой политики обратной связи.
Параметры политики, относящиеся к заставке, являются параметрами политики пользователя, поэтому необходимо включить обработку групповой политики обратной связи (Параметры компьютера - Административные шаблоны - Система - Групповая политика - Режим обработки обратной связи групповой политики) для режима "Объединить" (чтобы разрешить существующие пользовательские настройки продолжить применение) в новом или существующем объекте групповой политики, который уже применяется к компьютерам, которые нуждаются в "освобождении" от других настроек универсальной заставки. Если вы хотите, чтобы это "исключение" применялось только к подмножеству компьютеров в подразделении, с которым связан объект групповой политики, создайте группу безопасности, содержащую эти компьютеры, добавьте ее с разрешениями "Чтение" и "Применить групповую политику" к объекту групповой политики, содержащему при этой обработке групповой политики обратной петли удалите "авторизованных пользователей" из разрешения и добавьте "пользователей домена" (подробнее ниже) с разрешениями "Чтение" и "Применить групповую политику", если это необходимо.
После того, как вы это сделаете, вам нужно будет установить необходимые параметры политики, чтобы "отключить" настройки заставки. Это пользовательские настройки, и вы можете поместить их в тот же объект групповой политики, где вы включили обработку групповой политики обратной связи. Если вы используете тот же объект групповой политики, который задает параметр обработки групповой политики обратной связи, и вы отфильтровали приложение этого объекта групповой политики в группу безопасности, обязательно добавьте "Пользователи домена" с разрешениями "Чтение" и "Применить групповую политику" к этому объекту групповой политики, поскольку фактическое применение пользовательских настроек происходит в контексте вошедшего в систему пользователя, а не компьютера.
Перезагрузите один из "освобожденных" компьютеров и попробуйте.
Когда эти "освобожденные" компьютеры загружаются, они применяют объект групповой политики, который разрешает обработку групповой политики обратной связи в "режиме слияния". Фактически это означает, что после того, как все обычные пользовательские параметры объекта групповой политики применяются, выполняется второй проход по домену, ища объекты групповой политики, которые содержат пользовательские параметры, но которые применяются к расположению объекта компьютера в каталоге (представьте себе, что происходит слияние при обработке политики обратной связи) "как" волшебным образом "поместить копию пользовательского объекта в тот же контейнер, что и компьютер, во время входа в систему, тем самым нацеливая на любые пользовательские настройки в объектах групповой политики над компьютером и для пользователя).
Скорее всего, вы еще не используете обработку групповой политики обратной связи, поэтому этот очень упрощенный метод, который я описал выше, будет работать нормально. Если вы уже используете кольцевую обработку объектов групповой политики, то фильтрация по группам безопасности для "освобожденных" компьютеров становится проблематичной (и помимо того, что я хочу описать в этом ответе). Если вы уже там, вы уже должны знать, как делать то, что вы пытаетесь сделать... > улыбаться<
Очевидно, что я бы рекомендовал прочитать при обработке групповой политики обратной связи и запустить некоторые тесты с "пустым" компьютером в тестовой OU, прежде чем делать это на своих рабочих компьютерах / OU. Это один из тех случаев, когда понимание алгоритма, который клиент групповой политики использует для выбора политик, применяемых к пользователю / компьютеру, а не просто полагаться на такие инструменты, как "режим планирования" консоли управления групповыми политиками, является огромным преимуществом. Я бы направил вас к статье от Microsoft, но у них нет ничего, что не сосет (то есть говорит о "приоритетности" объектов групповой политики и других подобных глупостях, а не просто подробно объясняет алгоритм... > вздох<).
Когда-нибудь (НЕ сегодня, Кайл! У меня нет времени сегодня...) Я напишу описание алгоритма сбоя сервера.
Лучший способ сделать это - применить политику заставки только к машинам, на которых она должна быть. Это лучше, чем применять политику ко всему, а затем пытаться отменить некоторые из них.
Это можно сделать, отфильтровав объект групповой политики по группам безопасности (например, " Заставка включена"), а затем сделав все машины, на которых должен быть объект "Заставка", членом группы " Заставка включена ".
редактировать
Поскольку для объектов GPO требуется так мало объектов, создайте группу безопасности " Заставка отключена", сделайте целевые компьютеры членом этой группы, отредактируйте безопасность объекта групповой политики "Заставка", добавьте группу " Заставка отключена" и выберите " Запретить" для применения групповой политики. разрешение.