Переопределение политики для отдельного пользователя домена?

Question

[Юрий Ерусалимский]

Доброго здравия, прошу подсказать. В одной OU, фактически являющейся ассоциацией с отделом в организации, собраны учётки пользователей, и одной из GPO им подключается диск. Проблема в том, что отдельному пользователю нужно как бы переопределить это расположение подключаемого диска. То есть например, пользователи Максим, Олег и Леонид находятся в отделе инженеров, причём Леонид фактически разработчик, и диск с чертежами Максима и Олега ему не нужен. Сейчас Леониду подключается как сетевой диск папка с чертежами, а должна с софтом фактически другого отдела.
Что я уже пробовал:
1. Менял приоритет GPO внутри OU, выставляя отдельно созданное под Леонида GPO приоритетом выше. Не помогло.
2. Ставил на машину Леонида в автозагрузки cmd-скрипт с отсрочкой запуска по timeout - не помогло. Считаю это вообще жутким костылем и даже если бы это заработало - решением бы не считал.
3. Убирал из списков распространения подключения диска инженеров группу прошедших авторизацию и указывал конкретно отдельных Максима и Леонида, а для Леонида создавал отдельно GPO с подключением нужного диска - тоже не пошло и мне тоже не нравится как решение.

Пока вижу решением фильтрацию через WMI, но не пойму как настроить. Из того, за что можно зацепиться относительно пользователей, это фильтр типа Логин не Леонид. Машина может быть разная, с которой заходит Леонид, поэтому на неё ориентироваться не стоит.

Answer 1

[Alexey Dmitriev]

В современных реалиях сетевые диски подключаются через GPO Preferences. А в них через Item-level targeting можно задать любые гибкие условия применения.
Соответственно в одной политике должно быть 2 записи, одна из которых включает всех кроме одного пользователя, а вторая - наоборот.

Answer 2

[nApoBo3]

GPO можно настраивать фильтры https://docs.microsoft.com/ru-ru/windows/security/...

Answer 3

[Виктор]

Как я понимаю "папки чертежей и софта" находятся на некотором файловом сервере? Что тогда мешает включить на нем Access-based Enumeration(читаем ТУТ) и не мучаться? Потом просто подключаем корневую папку шары всем пользователям как сетевой диск и видимость/доступ папок регулируем с помощью NTFS разрешений(т.е. создаем группу в домене, ей назначаем права на папку и пользователей уже добавляем в эту группу).