none
Esclusione Utenti dalle GPO RRS feed

  • Domanda

  • Buongiorno a tutti,

    Ho preso in carico una infrastruttura che girava su windows 2008 server, e visto che era abbastanza incasinata, ho deciso di migrare su una nuova spostando i client in un nuovo dominio,usando windows 2012 r2 e virtualizzando tutto,  riorganizzando tutte le OU e le policy.

    Premesso ciò, per necessità, ho dovuto impostare il timeout dello screensaver a 5 minuti, ma non riesco a escludere 3 utenti che fanno parte di questo dominio.
    ho riorganizzato così le OU
    Foresta: museomaxxi.local
    Al suo interno ho la OU MUSEOMAXXI e al suo interno 22 OU che suddividono tutti i vari uffici/dipartimenti,
    Quello che vorrei fare è applicare la GPO alla OU "madre" ossia MUSEOMAXXI, in modo che tutte le OU prendano questa configurazione, escludendo però da questa "propagazione" solo due OU che sono dell'ufficio eventi, e quindi avere lo screensaver ogni 5 minuti diventa fastidioso,
    C'è un modo per escludere dalla GPO solo alcuni utenti?
    Vorrei evitare di doverli "tirare fuori" dalla OU madre e fargli delle policy a parte.

    grazie infinite e buona giornata a tutti


    martedì 10 luglio 2018 08:06

Risposte

Tutte le risposte

  • La cosa migliore dal punto di vista organizzativo sarebbe spostarli in una OU figlia apposita e bloccare l'ereditarietà delle GPO solo su questa specifica OU (tasto destro > blocca eredità nella console di gestione dei criteri di gruppo).
    Se questo non è proprio possibile puoi anche agire direttamente sui permessi del singolo oggetto GPO: dalla console dei criteri di gruppo seleziona l'oggetto GPO che non vuoi far applicare ai singoli utenti e spostati sulla scheda "Delega". In questa scheda fai click sul pulsante "Avanzate" e aggiungi gli utenti da escludere negando il privilegio di lettura (esattamente come se si trattasse di una impostazione di sicurezza NTFS).


    martedì 10 luglio 2018 08:40
    Moderatore
  • Buongiorno Fabrizio,

    Grazie della tua risposta, 

    Purtroppo non posso spostarle in una OU esterna, quindi seguirò il secondo consiglio ossia farò il deny dal TAB Delega.

    grazie infinite e buona giornata

    mercoledì 11 luglio 2018 07:07
  • Buongiorno,

    sarei interessato anch'io da questa soluzione "Deny" nella scheda delega. Purtroppo non sono per niente esperto in questa gestione di Windows: gentilmente potreste postare degli screenshots per esemplificare dove si trova questa impostazione? Grazie mille..

    Roberto

    lunedì 19 agosto 2019 12:44
  • Buongiorno,

    sarei interessato anch'io da questa soluzione "Deny" nella scheda delega. Purtroppo non sono per niente esperto in questa gestione di Windows: gentilmente potreste postare degli screenshots per esemplificare dove si trova questa impostazione? Grazie mille..

    Roberto

    vedi la risposta nel thread linkato qui sotto

    https://social.technet.microsoft.com/Forums/en-US/ed340675-c93c-484b-9d95-489b9128ee3f/allow-permissions-to-modify-delegation-tab-of-a-service-account?forum=winserverDS


    Edoardo Benussi
    Microsoft MVP - Cloud and Datacenter Management
    e[dot]benussi[at]outlook[dot]it

    mercoledì 21 agosto 2019 07:31
    Moderatore