[exo]

вот и ответы.
- для блокировки нужно сделать так:

читать дальше »

как видно из рисунка, пропала и ит-ая GPO, и доменная GPO. Но мне нужно доменную GPO оставить.

Как быть?

- сначала примениться доменная политика, потом IT-ая, и так далее. Чем ниже OU, тем позже\главнее GPO.
Но, IT-gpo сказанно - локальный вход только группе Programmers и DomainAdmins. В тестовой GPO сказанно "локальный вход для DomainAdmins и Domain\test. Однако захожу в политики - Testa нет, и есть Programmers. Хотя гпапдейт /форс делал и комп ребутал клиентский.

нашёл, как отменить "запрет наследования" для доменной политики. Нужно где-то поставить NO Override... только не могу найти где. Написанно в Options, но там нет.
у меня GPMS установленно
Значит, что я сделал.
Зашёл на ДК без ГПМС, включил в опциях NO Override.
Зашёл на ДК с ГПМС, смотрю - включилась галочка напротив ENFORCED...
Вот как включить NO Override с установленным ГПМС.

так, значит одна GPO заблочена, доменная работает.
Дальше.
Настраиваю GPO для OU, которая перекроет доменную GPO если будут конфликты параметров.
Рза десять уже gpupdate /force и перезагрузка клиентской машины - политика не применяется.
Прошёл час - политиа "применилась", точнее только один параметр.
Я настроили брандмауер так:

и применилось лишь: ремоут администрайшен - удалённый помошник.
а остальное не активно. ещё нужно подождать?