Mi van akkor, ha az szeretnénk elérni, hogy valakire NE legyen érvényes egy Group Policy? Ezt a kérdést tettem fel magamnak a héten, mikor egyik kollégám gépén meg kellett szüntetni az UAC-ot bekapcsoló házirendet. Tipikus rendszergazda probléma 🙂
Az első megoldás kézenfekvő: Tegyük át egy mások OU-ba, ahol kikapcsoljuk az öröklődést. Csakhogy ezzel van minimum két probléma.
- Ha kikapcsoljuk az öröklődést egy OU-n akkor egy GPO-sem fog érvényesülni, tehát minden egyéb, szükséges GPO objektumok külön linkelni kell az OU-hoz
- Az OU-k általában a szervezeti felépítést tükrözik vagy valamilyen egyéb logikai rendező elv szerint épülnek fel. Nem szerencsés a házirendek miatt szétverni ezt a struktúrát.
Kell egy módszer, amivel az OU-k “megbontása” nélkül lehet a GPO-k működését szabályozni.
Hiszen ez pofon egyszerű, ott van a Security filtering sőt WMI filtering is mondja most mindenki gondolom…
Csakhogy ezek inkább arra vannak kihegyezve, hogy az adott GPO mikor legyen használva, nekem pedig ennek a fordítottjára van szükségem!
Íme egy példa WMI filterre:
SELECT Version FROM Win32_OperatingSystem WHERE OSArchitecture = “64-bit”
Meg is lehet fordítani:
SELECT Version FROM Win32_OperatingSystem WHERE OSArchitecture <> “64-bit”
Így azonban a legtöbb esetben sokáig tart míg lefut, és az én esetemben nem igazán volt mire szűrni.
Marad a Security Filtering.
Mit is mond itt a szöveg?
The settings in this GPO can only apply to the following groups, users, and computers:
A fenébe, nekem pont az ellenkezője kell! Szerencsére nem kell hinni a “segítségnek” szánt feliratnak! Következzenek a lépések:
- Csinálunk egy csoportot aminek a tagjaira nem fog vonatkozni az adott GPO
- Hozzáadjuk ezt a csoportot a Security Filtering-hez. (ez nem teljesen pontos megfogalmazás, de megteszti mondjuk)
- Klikk az adott GPO Delegation fülére.
Itt már hozzá van adva:
- Advanced gomb. Állítsuk Deny-ra az Apply group policy-t.
Kész.
Itt jegyzem meg, hogy szerintem a 2003-as szerverben ez a dolog kicsit egyértelműbb volt. 2008-as konzolon kb. 10 percig kerestem a megfelelő funkciót. Lehet hogy öregszem…