1. Включите для машин в этом контейнере(подразделении) обработку политики пользователя в режиме замыкания (в варианте слияния).
2. Перенесите настройки политики, запрещающие доступ к съёмным запоминающим устройствам, в раздел конфигурации пользователя. Лучше для этого дела создать специальный объект политики, привязанный к нужному контейнеру.
3. Чтобы не иметь проблем с обновлением MS16-072, верните там, где убрали и больше не трогайте разрешение на чтение для Прошедших проверку, которое установлено по умолчанию. Фильтрацию политики делайте с помощью разрешений
на применение политики.
4. В данном случае либо дайте разрешение на применение политики нужной группе пользователей (для которой запрещён доступ к съёмным носителям) в консоли управления групповой политикой. Если затрудняетесь выделить этих пользователей
в группу, установите на вкладке Безопасность свойств политики в редакторе групповой политики явный запрет на применение этой политики для тех групп(или пользователей), на которых этот запрет не распространяется.
Слава России!
Спасибо за развернутый ответ. А как фильтрация будет отрабатывать если после последних апдейтов политики запрашиваются от учетки компьютера? Насколько я понимаю, теперь фильтровать по учеткам пользователей бесполезно? Или я ошибаюсь?
Просто я рассматривал схожий вариант, где бы было 2 политики - 1 на запрет, а 2 - на разрешение, и 2 должна применяться только для определенной группы пользователей (саппорт), но при применении на конечной машине gpresult говорил,
что вторая политика отфильтрована под любой учеткой.
