Как исключить отдельного пользователя или компьютер из объекта групповой политики

На этой неделе столкнулся со следующей задачей: на наш админский контейнер в AD стали прикручивать лишние политики, вроде принудительной установки корпоративного антивируса, очистки своп-файла и т.п. Казалось бы, админы имеют достаточно знаний чтобы самим решить что им ставить и как ставить, ан нет — партия сказала: надо, комсомол ответил: есть! Беда лишь в том, что я не был комсомольцем и такой расклад меня не устраивал по целому ряду причин, которые приводить здесь нет никакого интереса. В общем, надо было сделать себя исключением.

Все оказалось не так сложно, как мне показалось это в начале 10-го утра 26-го марта. Итак приступим:

1. Откройте объект групповой политики (иными словами политику), к которому вы хотите применить исключение, а затем выберите вкладку «Делегирование» и в этой вкладке нажмите на кнопку «Дополнительно».

image

2. Нажмите на кнопку «Добавить» и выберите группу или пользователя, которые вы хотите исключить из применение данной политики. Изящным решением, конечно же, является специальной группы, в которую вы затем сможете добавлять таких же маргиналов, как и вы сами.

image

3. В этом примере я исключаю группу «User GPO Exceptions» для этой политики. Выберите эту группу в списке «Имена групп или пользователей» , а затем прокрутите вниз Разрешения и поставьте галочку »Запретить» для строки «Применение групповой политики».

image

Теперь любой член группы «User GPO Exceptions» не будет наследовать указанную политику. Добро пожаловать в мир неформалов, или просто свободных людей, ребята ;)