Lanmen

Rendszergazda szolgáltatás, webáruház készítés, Office 365. Informatikai szolgáltatás kis és középvállalatoknak.

Most itt vagy: Főoldal / Microsoft / GPO security filtering (fordítva)

| Szerző:

Mi van akkor, ha az szeretnénk elérni, hogy valakire NE legyen érvényes egy Group Policy? Ezt a kérdést tettem fel magamnak a héten, mikor egyik kollégám gépén meg kellett szüntetni az UAC-ot bekapcsoló házirendet. Tipikus rendszergazda probléma 🙂

Az első megoldás kézenfekvő: Tegyük át egy mások OU-ba, ahol kikapcsoljuk az öröklődést. Csakhogy ezzel van minimum két probléma.

  • Ha kikapcsoljuk az öröklődést egy OU-n akkor egy GPO-sem fog érvényesülni, tehát minden egyéb, szükséges GPO objektumok külön linkelni kell az OU-hoz
  • Az OU-k általában a szervezeti felépítést tükrözik vagy  valamilyen egyéb logikai rendező elv szerint épülnek fel. Nem szerencsés a házirendek miatt szétverni ezt a struktúrát.

Kell egy módszer, amivel az OU-k “megbontása” nélkül lehet a GPO-k működését szabályozni.
Hiszen ez pofon egyszerű, ott van a Security filtering sőt WMI filtering is mondja most mindenki gondolom…
Csakhogy ezek inkább arra vannak kihegyezve, hogy az adott GPO mikor legyen használva, nekem pedig ennek a fordítottjára van szükségem!

Íme egy példa WMI filterre:

SELECT Version FROM Win32_OperatingSystem WHERE OSArchitecture = “64-bit”

Meg is lehet fordítani:

SELECT Version FROM Win32_OperatingSystem WHERE OSArchitecture <> “64-bit”

Így azonban a legtöbb esetben sokáig tart míg lefut, és az én esetemben nem igazán volt mire szűrni.

Marad a Security Filtering.

Mit is mond itt a szöveg?

The settings in this GPO can only apply to the following groups, users, and computers:

A fenébe, nekem pont az ellenkezője kell! Szerencsére nem kell hinni a “segítségnek” szánt feliratnak! Következzenek a lépések:

  • Csinálunk egy csoportot aminek a tagjaira nem fog vonatkozni az adott GPO
  • Hozzáadjuk ezt a csoportot a Security Filtering-hez. (ez nem teljesen pontos megfogalmazás, de megteszti mondjuk)
  • Klikk az adott GPO Delegation fülére.

    Itt már hozzá van adva:
  • Advanced gomb. Állítsuk Deny-ra  az Apply group policy-t.

Kész.

Itt jegyzem meg, hogy szerintem a 2003-as szerverben ez a dolog kicsit egyértelműbb volt. 2008-as konzolon kb. 10 percig kerestem a megfelelő funkciót. Lehet hogy öregszem…