[Anton04]

Цитата Той Серью:

Объект групповой политики связан с подразделением, пользователи этого ОП, входя удаленно на серверы, получают свои настройки среды в соответствии с ГПО. »

Цитата Той Серью:

Я попробовал простой путь, указав во вкладке Делегирование этот сервер исключения, и в параметрах безопасности этого ГПО этому серверу запретил все - и читать, и исполнять эту политику. »

Подсказка, политики ПК и политики пользователей это две разные ипостаси и применяются они в разное время загрузки.

P.S. Так же выделил несуразность жирным шрифтом.
P.P.S. Почему не применяется групповая политика к компьютеру/пользователю или OU?

[NickM]

Цитата Той Серью:

Но потребовалось, чтобы на одном сервере эти политики не применялись совсем. »

Для этого существуют фильтры в GPO.

[Той Серью]

Цитата NickM:
Для этого существуют фильтры в GPO. »
Спасибо за реакцию.
Создал фильтр в пространстве имен root/CIMv2
SELECT * FROM Win32_ComputerSystem WHERE Name = 'SERV7'
где SERV1 - один из ПК, на котором должна применяться политика, не должна применяться на SERV7. Не знаю пока синтаксис операции отрицания.
Применил к ОГП этот фильтр
Все равно политики конфигурации пользователя применяются на всех серверах. Видимо потому, что созданный фильтр (по имени ПК) фильтрует только настройки Конфигурации компьютера?

[dmitryst]

Цитата Той Серью:

Не знаю пока синтаксис операции отрицания. »

Цитата Той Серью:

WHERE Name <> 'SERV7' »

не оно?

[NickM]

Цитата Той Серью:

Видимо потому, что созданный фильтр (по имени ПК) фильтрует только настройки Конфигурации компьютера? »

Цитата Той Серью:

Видимо потому»

Цитата Той Серью:

SELECT * FROM Win32_ComputerSystem WHERE Name = 'SERV7' »

значит что политика:

Цитата Той Серью:

должна применяться на SERV7»

В выше приведённой статье сказано, что бы не гадать:

Цитата:

Для тестирования WMI фильтров на компьютерах можно использовать PowerShell. Допустим, вы написали сложный WMI запрос и его хотите проверить (соответствует ли компьютер данному запросу или нет). На целевом компьютере вы можете выполнить этот WMI запрос с помощью командлета get-wmiobject:

+

после настройки, обновите групповые политики на целевом сервере, постройте результирующую политику и убедитесь в корректности работы фильтра и решении вопроса.

[Той Серью]

Сервер находится в ОП1, к которому применена ГП1
Пользователь находится в несвязанном с ОП1 подразделении ОП2

Настроим в редакторе ГП1 параметры в разделе "Конфигурация компьютера" -
при входе пользователя в систему на нем политика срабатывает.

Уберем эти настройки и настроим их уже в "Конфигурация пользователя" -
при входе в систему политика не применяется

Включим в "Конфигурации компьютера" режим обработки замыкания пользовательской политики (как в режиме замены, так и в режиме слияния)
-при входе в систему политика снова не применяется.

А нужно чтобы применялась - и только на серверы подразделения ОП1

Размещать пользователя в ОП1 нельзя, так как нужно, чтобы наши настройки применялись только при входе пользователя на данный - и только данный (или все серверы ОП1) - сервер.

например, настройки, связанные с переменной имени пользователя можно сделать только в Конфигурации пользователя", то же перенаправление папок. Но перенаправляться они должны только на ферме, расположенной в ОП1.

[Той Серью]

СТОП! Я проворонил фильтры безопасности!
Замыкание политики пользователя - решение!