Как разграничить политику в AD для отдельных серверов, чтобы не перекрывалась дефолтовой?
Всем добрый день! Посоветоваться хотел - есть DC, настроены политики. В дефолтовую политику вписан автозапуск определенного URL при запуске браузера (и в том числе запуск браузера по умолчанию при входе в сеанс). Теперь нужно это все отключить для определенных серверов - как лучше поступить? Достаточно ли будет создать отдельный OU с именем, допустим, Exceptions, и туда загнать те серверы, на которые не должна распространяться политика, создав для них новую? Сомнения терзают насчет того, что этот автозапуск находится в Default Domain Policy - не получится ли так, что даже если я создам пустую политику, зацеплю ее на OU Exceptions, то дефолтовая политика все равно перекроет?
В дефолтовую политику вписан автозапуск определенного URL при запуске браузера (и в том числе запуск браузера по умолчанию при входе в сеанс)
уберите эту часть из Default Domain Policy в отдельную политику. Далее достаточно группы безопасности для серверов-исключений, и для этой группы запретить применение политики
Вынести нужную настройку\настройки в отдельную политику GPO на том же уровне, что изначальная. Создать группу безопасности для серверов и во вкладке Delegation запретить применение политики для нужной группы.
P.S. А по этому "что даже если я создам пустую политику, зацеплю ее на OU Exceptions, то дефолтовая политика все равно перекроет? " гуглить по запросу "LSDOU".
Видимо, после отпуска туплю :-) - у меня вот эти параметры распространяются на пользователя, не на компьютер. Ну то есть User configuration->Preferences->Windows Settings->Files/Shortcuts. Удалил все это из дефолтовой доменной политики, добавил в политику Exceptions, сцепил с одноименным OU, но тут задумался. В OU должны быть рабочие станции или учетки сотрудников? По идее ведь учетки сотрудников? Но тогда все это продолжит запускать на всех серверах домена, ведь эти параметры на уровне пользователя, а не компьютера. Можете еще раз пошагово, если не затруднит?
shupike, для применения параметров из User Configuration только на конкретным машинах есть GPO Loopback processing.
Пошагово конечно затруднит, во первых - если вы не понимаете, что делать - нужно учиться это делать. Во-вторых это запрещено правилами ресурса https://qna.habr.com/help/rules
Я тут погуглил - вроде бы достаточно должно быть отдельного OU для серверов (для простоты пусть будет для одного сервера), потом создать политику со всеми значениями "Not configured" и сцепить ее с OU, но только нужно отключить наследование для этого OU. Вот тут не пойму, как это сделать. Ну то есть чтобы сверху эту пустую политику не перекрыла Default Domain Policy.
Все равно туплю - пробегусь по основным моментам с вашего позволения. Итак, есть дефолтовая политика, в ней настроены копирование файлов ярлыка (на рабочий стол каждого ноута в домене) с последующим запуском браузера, открывающим предыдущий сеанс и вот эту стартовую страницу (она же зашита в ярлык на столе). Что я сделал - создал отдельную политику, прописал там эти параметры, убрал их из дефолтовой. Полученную политику привязал к новому OU и поместил туда (пока для эксперимента) только конкретную рабочую станцию, чтобы удостовериться (нужно именно на уровне рабочей станции разграничить в конечном счете, чтобы, скажем, для user1 выполнялось копирование файла и запуск браузера на его ноуте, но не выполнялось при входе на конкретные серверы). Выполняю gpupdate на выбранном ноуте - действительно, политика отрабатывает (новая). Но в результатах rsop я не вижу упоминания этой политики, даже параметров этих нет. И там везде упоминается только Default Domain Policy, а должна ведь только моя новая политика применяться.
shupike,
1. Как я написал выше - отфильтровать машины можно попробовать в item-level targeting изначальной политики GPO.
2. Если вы не понимаете - как отдебажить применение\неприменение политик - этому нужно научиться, а уже потом задавать вопросы - что пробовали и что не получилось.
Сейчас выглядит так, что вы просто хотите, чтобы кто-то нашел и решил проблему за вас.