Как разграничить политику в AD для отдельных серверов, чтобы не перекрывалась дефолтовой?
Всем добрый день! Посоветоваться хотел - есть DC, настроены политики. В дефолтовую политику вписан автозапуск определенного URL при запуске браузера (и в том числе запуск браузера по умолчанию при входе в сеанс). Теперь нужно это все отключить для определенных серверов - как лучше поступить? Достаточно ли будет создать отдельный OU с именем, допустим, Exceptions, и туда загнать те серверы, на которые не должна распространяться политика, создав для них новую? Сомнения терзают насчет того, что этот автозапуск находится в Default Domain Policy - не получится ли так, что даже если я создам пустую политику, зацеплю ее на OU Exceptions, то дефолтовая политика все равно перекроет?
В дефолтовую политику вписан автозапуск определенного URL при запуске браузера (и в том числе запуск браузера по умолчанию при входе в сеанс)
уберите эту часть из Default Domain Policy в отдельную политику. Далее достаточно группы безопасности для серверов-исключений, и для этой группы запретить применение политики
Вынести нужную настройку\настройки в отдельную политику GPO на том же уровне, что изначальная. Создать группу безопасности для серверов и во вкладке Delegation запретить применение политики для нужной группы.
P.S. А по этому "что даже если я создам пустую политику, зацеплю ее на OU Exceptions, то дефолтовая политика все равно перекроет? " гуглить по запросу "LSDOU".
Видимо, после отпуска туплю :-) - у меня вот эти параметры распространяются на пользователя, не на компьютер. Ну то есть User configuration->Preferences->Windows Settings->Files/Shortcuts. Удалил все это из дефолтовой доменной политики, добавил в политику Exceptions, сцепил с одноименным OU, но тут задумался. В OU должны быть рабочие станции или учетки сотрудников? По идее ведь учетки сотрудников? Но тогда все это продолжит запускать на всех серверах домена, ведь эти параметры на уровне пользователя, а не компьютера. Можете еще раз пошагово, если не затруднит?
shupike, для применения параметров из User Configuration только на конкретным машинах есть GPO Loopback processing.
Пошагово конечно затруднит, во первых - если вы не понимаете, что делать - нужно учиться это делать. Во-вторых это запрещено правилами ресурса https://qna.habr.com/help/rules
Я тут погуглил - вроде бы достаточно должно быть отдельного OU для серверов (для простоты пусть будет для одного сервера), потом создать политику со всеми значениями "Not configured" и сцепить ее с OU, но только нужно отключить наследование для этого OU. Вот тут не пойму, как это сделать. Ну то есть чтобы сверху эту пустую политику не перекрыла Default Domain Policy.
Простой
