Групповые политики и WSUS
 

Создаю политику обновления ПО для клиентов. Применяю к "Прошедшим проверку". Очевидно политика применяется и к серверу WSUS(он же сервер AD). Далее при обновлении получаю ошибку с кодом 80072EE6.

Отсюда вопрос, как применить политику ко всем, кроме.. (т.е. приписать исключения). Например к "Прошедшим проверку", но за исключением IP-адреса или имени компьютера(сервера WSUS) и т.д.

Вариант: создать группу безопасности с указанием конкретных комп-ов не вариант, так как сеть постоянно расширяется. Было бы разумным если вновь добавленные в AD компьютеры автоматически попадали в список "требующих обновления" ПО.

это не очевидно.
попробуйте использовать группу "компьютеры домена"

Помогло, спасибо!

P.S. Всё таки, существуют ли способы исключения объектов из группы к которой применяется политика?

security filtering
WMI Filters

Любой объект ГП, справа: Делегирование->дополнительно->добавить, добавляете компьютер или группу, в которую входят компьютеры, ставите запрет на все. К этому компьютеру (группе компьютеров) GPO применятся не будет

Интересно, попробую.

Точно!
Добавляю всех с разрешением на чтение. И добавляю с запретом на чтении тех кого надо исключить. Правильно понял?

Оставляете там все, как есть. Создаете группу, помещаете туда компьютеры, если политика применяется к компьютерам и пользователей, если политика применяется к пользователям. Эту группу добавляете и ставите запрет на чтение. Потом просто добавляете/удаляете имена компьютеров. Так удобнее управлять, к каким объектам политика применяется.
p.s. Если в рамках одной политики есть разрешение и запрет, то последний имеет приоритет.