Один з найпоширеніших питань про групових політиках, який часто спливає на спеціалізованих форумах і в дискусіях системних адміністраторів: яким чином можна виключити користувача і / або комп'ютер від застосування налаштувань групової політики (Group Policy). Існує кілька способів, що дозволяють заборонити застосування політики до конкретного об'єкта домену Active Directory, однак для себе я вибрав і використовую лише одну методику. В принципі це досить проста процедура, але слід зазначити, що потрібно користуватися їй уважно, краще через членство в групі (ви включаєте в групу AD тих користувачів і комп'ютери, до яких не повинна застосовуватися політика).
1. Відкрийте консоль управління політиками (Group Policy Management Console - gpmc.msc) І знайдіть в ній ту політику, в якій ви хочете зробити виключення, перейдіть на вкладку делегування ( "Delegation") і натисніть кнопку "Advanced".
2. Натисніть кнопку "Add" і виберіть групу (рекомендується використовувати саме групу, а не конкретного користувача або комп'ютер), яку ви хочете виключити з-під дії групової політики.
3. В даному прикладі я виключу групу "Users GPO Exceptions". Вкажіть ім'я групи і в розділі дозволів для "Apply Group Policy" вкажіть "Deny".
Тепер до членів групи "User GPO Exceptions" припиняє застосовуватися групова політика. Використання групи безпеки для контролю винятків з групової політики - є оптимальним рішенням, адже щоб заблокувати застосування політики, потрібно просто додати потрібного користувача або комп'ютер в групу. Крім того, це зручно для служб техпідтримки, які самостійно можуть діагностувати роботу винятків з групової політики, просто переглянувши склад цієї групи.
