Как блокировать применение групповой политики «на пользователя» для конкретного ПК?
WS2012R2 домен.
Есть политика, в пользовательской части которой, в предпочтениях, указаны принтеры которые назначаются различным пользователям. Политика применена к OU где находятся данные пользователи.
Есть сервер RDS, находится в другом OU, данная политика с ним не связана. Но юзеры если логинятся - получают свою политику назначения принтеров.
Нужно чтобы при логине на данный сервер политики пользователей для назначения принтеров не применялась.
Что пробовал - в настройках безопасности политики запретить применение для сервера RDS - не помогло. Видимо потому что политика все таки применяется на юзера, а не на комп?
1. Попробовать запретить чтение политики для этого компа? Наверное, с учетом последних апдейтов MS сработает, но это грубый путь и RSOP наверное ошибки будет показывать.
2. Можно в предпочтениях конечно сделать нацеливание, но это геморный путь ибо 12 принтеров "Нацеливать" лень.
Еще какие нибудь прогрессивные варианты?
п.1. описан в вопросе, пробовал и он не работает, и есть предположение почему
п.2 WMI вообще надежные механизм? Он зависит от каких либо служб, нужно порты открывать?
По итогам два рабочих варианта: WMI и добавление запрета на чтение политики для указанного компьютера (настройки на вкладке Делегирование). Второй вариант может показаться более легким, но есть ложка дегтя - такая политика не отображается отклоненной в gpresult, могут возникнуть трудности с дебагом в будущем.
other_letter, И как это поможет? Политика распространяется на пользователей, когда они работают за рабочими станциями. А на тех же пользователей, но терминальном сеансе на RDS она работать не должна. Какое предлагаете исключение добавить?
Простой
Средний
Простой
