none
Исключения из GPO RRS feed

  • Вопрос

  • Коллеги, привет.

    Сталкиваюсь с какой-то тупой ситуацией.

    Если GPO - задаёт 3 настройки в персонализации (на пользователя). Блокирует дисплей по таймауту и блокирует паролем.

    Есть ряд пользователей, которых нужно исключить.

    Политика блокировки наследуется с OU (город) на все подразделения (ou)  внутри города.

    Создаётся группа. В члены добавляются требуемые сотрудники. В делегировании GPO добавлю группу и ставлю запрет на "применение" политики, впоследствие и чтение запрещал (но дело не в нём конечно).

    Вообщем , станция как лочилась так и продолжает лочиться. Есть соображения?
    Заранее спасибо.

    22 октября 2019 г. 9:59

Ответы

  • создаете аналогичную политику в которой настраиваете противоположное действие и линкуете на ou подразделений в которых сидят ваши пользюки с Auth. users сгимаете галку Применить и оставляете только Чтение, добавляете нужную группу с 2 галками Применить и Читать.

    Необходимость что либо запрещать (ACL на каталогах, политиках и тд) появляется тогда когда разрешающие права выданы неправильно, а у вас еще не все так плохо как вы пытаетесь сделать ;)


    The opinion expressed by me is not an official position of Microsoft

    • Изменено Vector BCOModerator 22 октября 2019 г. 11:28
    • Помечено в качестве ответа DmitryG_ 24 октября 2019 г. 4:41
    22 октября 2019 г. 11:26
    Модератор

Все ответы

  • У них билет Kerberos не обновился из-за нового членства в группе. Нужно logoff/logon им сделать и ещё раз проверить.

    22 октября 2019 г. 11:24
  • создаете аналогичную политику в которой настраиваете противоположное действие и линкуете на ou подразделений в которых сидят ваши пользюки с Auth. users сгимаете галку Применить и оставляете только Чтение, добавляете нужную группу с 2 галками Применить и Читать.

    Необходимость что либо запрещать (ACL на каталогах, политиках и тд) появляется тогда когда разрешающие права выданы неправильно, а у вас еще не все так плохо как вы пытаетесь сделать ;)


    The opinion expressed by me is not an official position of Microsoft

    • Изменено Vector BCOModerator 22 октября 2019 г. 11:28
    • Помечено в качестве ответа DmitryG_ 24 октября 2019 г. 4:41
    22 октября 2019 г. 11:26
    Модератор
  • создаете аналогичную политику в которой настраиваете противоположное действие и линкуете на ou подразделений в которых сидят ваши пользюки с Auth. users сгимаете галку Применить и оставляете только Чтение, добавляете нужную группу с 2 галками Применить и Читать.

    Необходимость что либо запрещать (ACL на каталогах, политиках и тд) появляется тогда когда разрешающие права выданы неправильно, а у вас еще не все так плохо как вы пытаетесь сделать ;)


    The opinion expressed by me is not an official position of Microsoft

    Спасибо за совет, попробую вечером и отпишусь.

    Вопрос только в наследовании. Новая политика с обратными настройками будет линковаться , о стальные - наследоваться. Т.е. согласно нуммерации она выполнится первой, а потом наследуемая не перетрёт её настройки?

    Или всё же лучше (хотя на самом деле не особо лучше) выставить блокирования наследования на повесить руками только нужное и в нужном порядке?

    22 октября 2019 г. 11:43
  • блокирование никогда не лучше политики применяются в виде рулона который имеет тем больший приоритет чем более конкретно политика прилинкована - политика на OU имеет больший вес чем аналогичная на уровень выше

    The opinion expressed by me is not an official position of Microsoft

    22 октября 2019 г. 12:19
    Модератор
  • блокирование никогда не лучше политики применяются в виде рулона который имеет тем больший приоритет чем более конкретно политика прилинкована - политика на OU имеет больший вес чем аналогичная на уровень выше

    The opinion expressed by me is not an official position of Microsoft

    Пока вроде бы всё получилось.

    Потестирую 1-2 дня и закрою тему с правильным ответом.

    Спасибо за помощь!

    23 октября 2019 г. 8:55