Здравствуйте!

Посоветуйте, пожалуйста, решение

Объект групповой политики связан с подразделением, пользователи этого ОП, входя удаленно на серверы, получают свои настройки среды в соответствии с ГПО.
Но потребовалось, чтобы на одном сервере эти политики не применялись совсем.
Я попробовал простой путь, указав во вкладке Делегирование этот сервер исключения, и в параметрах безопасности этого ГПО этому серверу запретил все - и читать, и исполнять эту политику. Система это позволила сделать, однако политики все равно применяются, когда пользователи входят на него.
В Фильтре безопасности серверы принимать отказывается - "Параметр задан неверно", не дает вписать компьютер среди перечисленных групп пользователей, хотя в описании к фильтру написано, что можно применять для пользователей, групп и компьютеров.


Понятно, что тут надо переделывать всю архитектуру объектов, возможно, надо в ОП указывать не пользователей, а именно серверы, не знаю, но в таком виде я это принял и кардинально переделывать пока нет возможности.

Объект групповой политики связан с подразделением, пользователи этого ОП, входя удаленно на серверы, получают свои настройки среды в соответствии с ГПО. »
Я попробовал простой путь, указав во вкладке Делегирование этот сервер исключения, и в параметрах безопасности этого ГПО этому серверу запретил все - и читать, и исполнять эту политику. »

Подсказка, политики ПК и политики пользователей это две разные ипостаси и применяются они в разное время загрузки.

P.S. Так же выделил несуразность жирным шрифтом.
P.P.S. Почему не применяется групповая политика к компьютеру/пользователю или OU? (https://winitpro.ru/index.php/2019/03/18/primenenie-gpo-spravka-admina/)

Но потребовалось, чтобы на одном сервере эти политики не применялись совсем. »
Для этого существуют фильтры в GPO (https://winitpro.ru/index.php/2012/01/13/filtraciya-gruppovyx-politik-s-pomoshhyu-wmi-filtrov/).

Цитата NickM:
Для этого существуют фильтры в GPO. »
Спасибо за реакцию.
Создал фильтр в пространстве имен root/CIMv2
SELECT * FROM Win32_ComputerSystem WHERE Name = 'SERV7'
где SERV1 - один из ПК, на котором должна применяться политика, не должна применяться на SERV7. Не знаю пока синтаксис операции отрицания.
Применил к ОГП этот фильтр
Все равно политики конфигурации пользователя применяются на всех серверах. Видимо потому, что созданный фильтр (по имени ПК) фильтрует только настройки Конфигурации компьютера?

Не знаю пока синтаксис операции отрицания. »
WHERE Name <> 'SERV7' »
не оно?

Видимо потому, что созданный фильтр (по имени ПК) фильтрует только настройки Конфигурации компьютера? »
Видимо потому»
SELECT * FROM Win32_ComputerSystem WHERE Name = 'SERV7' »
значит что политика:
должна применяться на SERV7»
В выше приведённой статье сказано, что бы не гадать:
Для тестирования WMI фильтров на компьютерах можно использовать PowerShell. Допустим, вы написали сложный WMI запрос и его хотите проверить (соответствует ли компьютер данному запросу или нет).
На целевом компьютере вы можете выполнить этот WMI запрос с помощью командлета get-wmiobject:

+

после настройки, обновите групповые политики на целевом сервере, постройте результирующую политику и убедитесь в корректности работы фильтра и решении вопроса.

Сервер находится в ОП1, к которому применена ГП1
Пользователь находится в несвязанном с ОП1 подразделении ОП2

Настроим в редакторе ГП1 параметры в разделе "Конфигурация компьютера" -
при входе пользователя в систему на нем политика срабатывает.

Уберем эти настройки и настроим их уже в "Конфигурация пользователя" -
при входе в систему политика не применяется

Включим в "Конфигурации компьютера" режим обработки замыкания пользовательской политики (как в режиме замены, так и в режиме слияния)
-при входе в систему политика снова не применяется.

А нужно чтобы применялась - и только на серверы подразделения ОП1

Размещать пользователя в ОП1 нельзя, так как нужно, чтобы наши настройки применялись только при входе пользователя на данный - и только данный (или все серверы ОП1) - сервер.

например, настройки, связанные с переменной имени пользователя можно сделать только в Конфигурации пользователя", то же перенаправление папок. Но перенаправляться они должны только на ферме, расположенной в ОП1.

СТОП! Я проворонил фильтры безопасности!
Замыкание политики пользователя - решение!