Задача такая, среди менеджерских компов, входящих в контейнер Менеджеры по продажам, появилась необходимость изменения настроек Брандмауера, в частности, разрешения использования Nokia PCSuite для синхронизации с наладонником.

Вопрос: как это реализовать?

Если я уберу комп из контейнера, тогда другие настройки перестанут применятся; делать юзера админом - никогда!.
Как я вижу, самый простой вариант, это создать новый контейнер аля Менеджеры по продажам ВИП, создать новую ГП, и применить к новому контейнеру.

Есть ли более простой вариант?

Я думаю так.Создать контейнер в контейнере (Менеджеры ВИП создать в Менеджерах), добавить политику с настройкой Брандмауэра (поставить в Этой политике НЕ Перекрывать политику)). И переместить нужных пользователей в этот контейнер.

Вот я тупень, блин, вот так всегда, самое простое в голову не приходит сразу

Есть ли более простой вариант? »
есть

Создать контейнер в контейнере »
а не проще выделить нужные настройки в отдельную политику, и в свойствах этой политики _запретить_ применение политики для определенных пользователей?

Если имеется ввиду заменить применяемую группу по умолчанию в любой политике "прошедшие проверку" на компьютер или отдельного пользователя, то я это пробовал. нулевой эффект. отдельного запрещения в политиках нет

открываем политику,
на названии политики щелкаем правой кнопкой, выбираем "свойства",
переходим на "безопасность",
добавляем юзера (или лучше группу),
даем deny read
в итоге эта политика не применяется на указанных пользователей

смотри аттач

только что попробовал, ноль эмоций
политика применяется

на контроллере домена gpupdate
на рабочей станции gpupdate /force
или ждать до завтра =)

можно проверить через GPMC / Group policy modeling
что куда применяется